Приказ Департамента имущества и земельных отношений Новосибирской области от 31.05.2023 N 1633-НПА "Об утверждении документов, направленных на обеспечение выполнения департаментом имущества и земельных отношений Новосибирской области обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с изменениями и дополнениями)

Приказ Департамента имущества и земельных отношений Новосибирской области от 31 мая 2023 г. N 1633-НПА
"Об утверждении документов, направленных на обеспечение выполнения департаментом имущества и земельных отношений Новосибирской области обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных"

С изменениями и дополнениями от:

27 июня 2023 г.

В целях выполнения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:

1. Назначить ответственного за организацию обработки персональных данных в департаменте имущества и земельных отношений Новосибирской области Мартыненко И.В., начальника отдела организационной и кадровой работы департамента имущества и земельных отношений Новосибирской области (далее - департамент).

2. Утвердить прилагаемые:

1) Правила обработки персональных данных в департаменте имущества и земельных отношений Новосибирской области;

2) Правила рассмотрения запросов субъектов персональных данных или их представителей в департаменте имущества и земельных отношений Новосибирской области;

3) Правила осуществления внутреннего контроля соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в департаменте имущества и земельных отношений Новосибирской области установленным требованиям;

4) Перечень информационных систем персональных данных в департаменте имущества и земельных отношений Новосибирской области;

5) Перечень должностей в департаменте имущества и земельных отношений Новосибирской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

6) Перечень должностных обязанностей, включаемых в должностной регламент лица, ответственного за организацию обработки персональных данных в департаменте имущества и земельных отношений Новосибирской области;

7) Типовое обязательство государственного служащего (работника) департамента имущества и земельных отношений Новосибирской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших ему известными в связи с исполнением должностных обязанностей;

8) Типовую форму согласия на обработку персональных данных государственных служащих департамента имущества и земельных отношений Новосибирской области, иных субъектов персональных данных;

9) Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

10) Порядок доступа государственных гражданских служащих департамента имущества и земельных отношений Новосибирской области, лиц, замещающих должности, не являющиеся должностями государственной гражданской службы, в помещения департамента, в которых ведется обработка персональных данных.

2. Возложить на лиц, ответственных за организацию обработки персональных данных в департаменте имущества и земельных отношений Новосибирской области, обязанности, предусмотренные частью 4 статьи 22.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

3. Признать утратившим силу приказ департамента имущества и земельных отношений Новосибирской области от 17.12.2020 N 3911 "Об утверждении документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

4. Контроль за исполнением настоящего приказа оставляю за собой.

Исполняющий обязанности руководителя департамента

Е.Л. Скородумов

УТВЕРЖДЕНЫ
приказом департамента
имущества и земельных отношений
Новосибирской области
от 31 мая 2023 г. N 1633-НПА

Правила обработки персональных данных в департаменте имущества и земельных отношений Новосибирской области

С изменениями и дополнениями от:

27 июня 2023 г.

1. Общие положения

Информация об изменениях:

Пункт 1.1 изменен с 27 июня 2023 г. - Приказ Департамента имущества и земельных отношений Новосибирской области от 27 июня 2023 г. N 1911-НПА

См. предыдущую редакцию

1.1. Настоящие Правила обработки персональных данных в департаменте имущества и земельных отношений Новосибирской области (далее - Правила) разработаны в соответствии с Федеральным законом N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.2. Настоящие Правила определяют цели, принципы, условия, способы и порядок обработки персональных данных, категории субъектов, персональные данные которых обрабатываются в департаменте имущества и земельных отношений Новосибирской области (далее - Департамент, оператор), содержание обрабатываемых персональных данных, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.

Информация об изменениях:

Пункт 1.3 изменен с 27 июня 2023 г. - Приказ Департамента имущества и земельных отношений Новосибирской области от 27 июня 2023 г. N 1911-НПА

См. предыдущую редакцию

1.3. Понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе N 152-ФЗ.

2. Цели обработки персональных данных

2.1. Цели обработки персональных данных в Департаменте конкретны, заранее определены и законны.

2.2. Обработка персональных данных Департаментом осуществляется в следующих целях:

- выполнение требований трудового законодательства и законодательства о государственной гражданской службе Новосибирской области; ведение бухгалтерского, кадрового и воинского учета; оформление договорных отношений в соответствии с законодательством Российской Федерации (осуществление гражданско-правовых отношений); ведение личных дел (карточек); осуществление расчета заработной платы и иных выплат и удержаний;

- формирование кадрового резерва;

- представление граждан к получению наград;

- учет студентов, проходящих производственную практику;

- рассмотрение обращений граждан, подготовка ответов на обращения.

2.3. Цели обработки персональных данных определяют:

- содержание обрабатываемых персональных данных;

- категории субъектов, персональные данные которых обрабатываются;

- сроки обработки и хранения персональных данных;

- порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

3. Принципы обработки персональных данных

3.1. Обработка персональных данных в Департаменте осуществляется в соответствии со следующими принципами:

- обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей;

- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки и не должны быть избыточными по отношению к заявленным целям их обработки;

- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных, оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Условия обработки персональных данных

4.1. Обработка персональных данных в Департаменте допускается в следующих случаях:

- при наличии согласия субъекта персональных данных на обработку его персональных данных;

- обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

- обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного управления;

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5. Конфиденциальность персональных данных

5.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6. Категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения

6.1. В Департаменте осуществляется обработка персональных данных следующих категорий субъектов персональных данных:

- государственные гражданские служащие;

- работники, замещающие должности, не относящиеся к должностям государственной гражданской службы;

- граждане, персональные данные которых необходимы для рассмотрения обращений граждан;

- граждане, включенные в кадровый резерв;

- лица, представляемые к награждению.

6.2. Персональные данные обрабатываются в сроки, обусловленные заявленными целями их обработки.

6.3. Обработка персональных данных осуществляется с момента их получения Департаментом и прекращается:

- по достижении целей обработки персональных данных;

- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных;

- в связи с отзывом согласия субъекта персональных данных (или его представителей) на обработку его персональных данных;

- в случае выявления неправомерной обработки персональных данных;

- в случае истечения установленного срока хранения персональных данных;

- в случае прекращение осуществления деятельности оператора или ликвидация оператора.

6.4. Сроки хранения персональных данных, содержащихся на материальных носителях информации, устанавливаются в соответствии с номенклатурой дел Департамента.

7. Содержание обрабатываемых персональных данных

7.1. Перечень персональных данных, обрабатываемых в целях, указанных в пункте 2.2 настоящих Правил, содержится в приложении.

8. Обработка персональных данных с согласия субъекта персональных данных

8.1. До начала обработки персональных данных оператор получает у субъектов согласие на обработку их персональных данных.

8.2. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

8.3. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, предусмотренных Федеральным законом N 152-ФЗ.

8.4. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

8.5. Допускается включение согласия в типовые формы (бланки) материальных носителей персональных данных и в договор с субъектом персональных данных.

8.6. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

8.7. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления письменного запроса оператору.

9. Обработка персональных данных без согласия субъекта персональных данных

9.1. Обработка персональных данных без получения согласия на такую обработку от субъекта персональных данных или в случае отзыва согласия субъектом персональных данных может осуществляться оператором при наличии оснований, предусмотренных Федеральным законом N 152-ФЗ.

9.2. Обязанность предоставить доказательство наличия оснований на обработку персональных данных без согласия субъекта персональных данных возлагается на оператора.

10. Правила обработки персональных данных, разрешенных субъектом персональных данных для распространения

10.1. Персональные данные, разрешенные субъектом персональных данных для распространения, обрабатываются и подлежат защите в соответствии с Федеральным законом N 152-ФЗ.

10.2. Распространение персональных данных субъектов персональных данных допускается при наличии согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, а также в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на государственные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей.

10.3. С целью информационного обеспечения и осуществления взаимодействия со сторонними физическими и юридическими лицами в Департаменте могут создаваться общедоступные источники персональных данных.

10.4. В общедоступный источник персональных данных в целях информационного обеспечения могут включаться: должность, фамилия, имя, отчество, контактные данные (номер телефона, адрес электронной почты), сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных и разрешенные им для распространения.

10.5. Включение в общедоступные источники персональных данных субъекта персональных данных допускается только на основании его письменного согласия.

10.6. Сведения о субъекте персональных данных подлежат исключению из общедоступных источников при утрате необходимости в обработке таких данных, по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов в соответствии с действующим законодательством Российской Федерации.

10.7. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

10.8. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

10.9. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, предоставляется субъектом персональных данных непосредственно оператору.

10.10. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором без права распространения.

10.11. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с Федеральным законом N 152-ФЗ, такие персональные данные обрабатываются оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

10.12. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

10.13. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий не допускается.

10.14. Оператор обязуется в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

10.15. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

10.16. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором.

10.17. Оператор обязуется прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных.

10.18. В случае обработки общедоступных персональных данных обязанность сбора и предоставления доказательств того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора (наличие подтверждения согласия субъекта персональных данных на включение такой информации в общедоступные источники персональных данных или отсутствие необходимости получения такого согласия).

10.19. Обязанность предоставить доказательства законности распространения или иной обработки персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

10.20. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения в соответствии с ч. 3 ст. 18 Федерального закона N 152-ФЗ, если обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных Федеральным законом N 152-ФЗ.

11. Способы обработки персональных данных

11.1. В Департаменте обработка персональных данных осуществляется как с использованием, так и без использования средств автоматизации.

11.2. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

11.3. Обработка персональных данных средствами автоматизации должна осуществляться с соблюдением прав и законных интересов субъекта персональных данных на основании правил, положений, инструкций, руководств, регламентов и иных документов, определяющих технологический процесс обработки информации, содержащей такие данные.

11.4. Особенности обработки персональных данных без использования средств автоматизации утверждаются приказом руководителя департамента.

12. Сбор, систематизация, накопление, уточнение и использование персональных данных

12.1. Способы сбора и источники получения персональных данных:

- предоставление субъектом персональных данных подлинников документов и (или) их копий;

- заполнение субъектом персональных данных соответствующих форм;

- получение персональных данных от третьих лиц;

- получение данных на основании запроса третьим лицам;

- сбор данных из общедоступных источников.

12.2. Если предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными в соответствии с федеральными законами, иными нормативными правовыми документами, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на их обработку.

12.3. Если основания на обработку персональных данных без получения согласия отсутствуют, то необходимо получение согласия субъекта персональных данных на обработку его персональных данных. Обработка персональных данных без получения такого согласия запрещается.

12.4. Если персональные данные получены не от субъекта персональных данных (за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ) оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

- наименование и адрес оператора или его представителя;

- сведения о цели обработки персональных данных и ее правовое основание;

- сведения о перечне персональных данных;

- сведения о предполагаемых пользователях персональных данных;

- сведения о правах субъекта персональных данных;

- сведения об источниках получения персональных данных.

12.5. Оператор освобождается от обязанности предоставлять субъекту персональных данных сведения в случаях, если:

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

- персональные данные получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

- обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных Федеральным законом N 152-ФЗ;

- оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;

- предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.

12.6. Систематизация, накопление, уточнение, использование персональных данных в Департаменте осуществляются законными способами в соответствии документами, определяющими технологический процесс обработки информации.

12.7. Использование персональных данных в Департаменте осуществляется исключительно в заявленных целях. Использование персональных данных в заранее не определенных и не оформленных установленным образом целях не допускается.

13. Правила обработки персональных данных при поручении обработки персональных данных другому лицу

13.1. Департамент вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (контракта), либо путем принятия соответствующего акта (далее - поручение оператора).

13.2. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные действующим законодательством Российской Федерации в области персональных данных.

13.3. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, способы и цели их обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона N 152-ФЗ, обязанность по запросу Департамента в течение срока действия поручения Департамента, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Департамента требований, установленных в соответствии с частью 3 статьи 6 Федерального закона N 152-ФЗ, обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных, в том числе требование об уведомлении Департамента о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона N 152-ФЗ.

13.4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае необходимости получения согласия на обработку персональных данных от субъекта персональных данных обязанность получения такого согласия возлагается на оператора.

13.5. В случае, если оператор поручит обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

13.6. В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.

14. Осуществление передачи персональных данных

14.1. Передача персональных данных в адрес третьих лиц осуществляется оператором с соблюдением настоящих Правил и действующего законодательства Российской Федерации.

14.2. Оператор может использовать следующие способы передачи персональных данных субъектов персональных данных:

- на бумажных носителях информации (почтовая связь; нарочно);

- в электронном виде (по внутренней сети; по сетям связи общего пользования с выходом за пределы контролируемой зоны; с использованием съемных носителей информации).

14.3. Перед осуществлением передачи персональных данных сотрудники оператора должны убедиться в наличии правовых оснований на осуществление такой передачи:

- наличие согласия субъекта персональных данных на передачу его персональных данных в адрес третьих лиц или наличии иных законных оснований:

- достижение целей, предусмотренных законодательством Российской Федерации;

- исполнение возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- реализация или заключение договора (стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных) с третьей стороной, в адрес которой осуществляется передача персональных данных.

14.4. Персональные данные, хранящиеся на машинных носителях информации, подлежат уничтожению (стиранию) при передаче машинных носителей информации между пользователями, в сторонние организации для ремонта или утилизации в порядке, установленном положениями локальных актов оператора.

14.5. Передача персональных данных должна осуществляться с использованием методов и способов, а также с принятием мер, исключающих неправомерный или случайный доступ к передаваемым персональным данным, следствием которого может стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

14.6. В целях обеспечения контроля передачи персональных данных третьим лицам сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также состав переданной информации фиксируются в Журнале учета передачи персональных данных, форма которого утверждается приказом руководителя департамента.

15. Хранение персональных данных и сроки их обработки

15.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации и (или) договором, стороной которого является субъект персональных данных.

15.2. В процессе хранения персональных данных субъектов персональных данных необходимо обеспечивать контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

15.3. Хранение персональных данных должно осуществляться на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

15.4. Ключи от шкафов и сейфов, в которых хранятся сведения о субъектах персональных данных, находятся у ответственных сотрудников.

15.5. Материальные носители персональных данных, обработка которых осуществляется в различных целях, должны храниться отдельно.

15.6. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Должны быть определены места хранения персональных данных и определен перечень лиц, осуществляющих обработку персональных данных (в том числе без использования средств автоматизации) либо имеющих к ним доступ, утверждаемые приказом руководителя департамента.

15.7. Обеспечение безопасности и учет машинных носителей информации, используемых в Департаменте для хранения персональных данных, осуществляется в порядке, регламентирующем правила обращения с машинными носителями информации.

15.8. Обязанности по организации хранения материальных носителей персональных данных в Департаменте возлагаются на ответственных за организацию обработки персональных данных в Департаменте и руководителей структурных подразделений, в которых осуществляется обработка персональных данных.

15.9. На основании определенных целей обработки персональных данных, способов обработки и образующихся в процессе такой обработки различных видов документов устанавливаются сроки обработки персональных данных, в том числе хранения.

15.10. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации в сфере обработки персональных данных.

15.11. Определение организации и сроков хранения, комплектования, учета и использования содержащих персональные данные архивных документов осуществляется в соответствии с требованиями законодательства об архивном деле в Российской Федерации.

16. Порядок блокирования персональных данных

16.1. Блокирование персональных данных осуществляется:

- в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки;

- в случае отсутствия возможности уничтожения персональных данных в установленные сроки до их уничтожения;

- в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

16.2. После устранения выявленной неправомерной обработки либо после уточнения персональных данных осуществляется снятие блокирования персональных данных.

16.3. Решение о блокировании и снятии блокирования персональных данных субъекта персональных данных принимается ответственными за организацию обработки персональных данных в Департаменте.

17. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

17.1. Оператор обязан уничтожить или обеспечить уничтожение персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в следующих случаях:

- при достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом (в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом N 152-ФЗ или другими федеральными законами);

- персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (в срок, не превышающий семи рабочих дней);

- в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно (в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных);

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных (в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом N 152-ФЗ или другими федеральными законами);

- в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных (в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, за исключением случаев, предусмотренных пунктами 2-11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона N 152-ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации).

17.2. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пункте 17.1 настоящих Правил, Департамент осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Департамента) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

17.3. При уничтожении персональных данных необходимо:

- убедиться в необходимости уничтожения персональных данных;

- убедиться в том, что уничтожаются те персональные данные, которые предназначены для уничтожения;

- уничтожить персональные данные подходящим способом в соответствии с нижеследующими требованиями или способом, указанным в соответствующем распорядительном документе или технологической инструкции;

- при необходимости уведомить об уничтожении персональных данных требуемых лиц.

17.4. При необходимости уничтожения персональных данных оператор должен руководствоваться следующими требованиями:

- бумажные носители, содержащие персональные данные, должны уничтожаться при помощи специального оборудования (уничтожителей (измельчителей) бумаги);

- персональные данные, представленные в электронном виде, должны уничтожаться специализированным программным обеспечением, гарантирующим предотвращение восстановления удаленных данных;

- после окончания процедуры уничтожения персональных данных и (или) материальных носителей персональных данных должен быть составлен соответствующий акт уничтожения;

- в случае необходимости физическое уничтожение машинных носителей персональных данных осуществляется путем физического разрушения или сильной деформации носителя;

- контроль за своевременным уничтожением персональных данных осуществляют ответственные за организацию обработки персональных данных в Департаменте.

17.5. Уничтожение (стирание) информации на машинных носителях (в том числе при их передаче между пользователями, в сторонние организации для ремонта или утилизации), а также уничтожение машинных носителей информации производится в порядке, установленном локальными актами оператора, регламентирующими правила обращения с машинными носителями информации в Департаменте.

17.6. Уничтожение части персональных данных (обрабатываемых с использованием и без использования средств автоматизации), если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, зачеркивание, стирание).

17.7. При необходимости уничтожения части персональных данных допускается уничтожать материальный носитель одним из указанных в настоящих Правилах способов, с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.

17.8. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению, производится на основании акта уничтожения персональных данных по утвержденной Департаментом форме.

17.9. Хранение актов об уничтожении персональных данных и (или) материальных носителей персональных данных осуществляется в течение срока исковой давности, если иное не установлено нормативными правовыми актами Российской Федерации.

18. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

18.1. Требования по защите персональных данных устанавливаются федеральными законами и иными нормативными правовыми актами.

18.2. Всеми сотрудниками Департамента, получающими доступ к персональным данным, должен обеспечиваться установленный порядок защиты таких данных. Обработка персональных данных в Департаменте без принятия мер по обеспечению безопасности персональных данных не допускается.

18.3. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К принимаемым в Департаменте мерам по выявлению и предотвращению нарушений законодательства в сфере персональных данных относятся:

- назначение ответственного за организацию обработки персональных данных в Департаменте;

- назначение ответственного за защиту информации, не содержащей сведения, составляющие государственную тайну, содержащейся информационных системах в Департаменте;

- обеспечение личной ответственности сотрудников, осуществляющих обработку, либо имеющих доступ к персональным данным;

- издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения порядка обработки и защиты персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;

- ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;

- организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- утверждение оператором документов, определяющих перечни лиц, имеющих доступ к персональным данным, а также в помещения, в которых размещены информационные системы персональных данных и ведется обработка персональных данных;

- определение угроз безопасности персональных данных при их обработке в информационных системах Департамента;

- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

- осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;

- обеспечение учета и сохранности носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по предупреждению и ликвидации последствий несанкционированного доступа к персональным данным;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным;

- осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

- блокирование, изменение и уничтожение персональных данных в предусмотренных действующим законодательством в области персональных данных случаях;

- оповещение субъектов персональных данных в предусмотренных действующим законодательством в области персональных данных случаях;

- разъяснение прав субъектов персональных данных по вопросам обработки и обеспечения безопасности их персональных данных;

- организация рассмотрения запросов субъектов персональных данных или их представителей и ответов на такие запросы;

- оказание содействия правоохранительным органам в случаях нарушений законодательства в отношении обработки персональных данных;

- обеспечение неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

- обеспечение записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

- защита персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, путем применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации.

Приложение
к Правилам обработки
персональных данных
в департаменте имущества
и земельных отношений
Новосибирской области

Перечень персональных данных, обрабатываемых в департаменте

N п/п	Цели обработки персональных данных	Перечень обрабатываемых персональных данных	Категории субъектов, персональные данные которых обрабатываются
1	выполнение требований трудового законодательства и законодательства о государственной гражданской службе Новосибирской области; ведение бухгалтерского, кадрового и воинского учета; оформление договорных отношений в соответствии с законодательством Российской Федерации (осуществление гражданско-правовых отношений); ведение личных дел (карточек); осуществление расчета заработной платы и иных выплат и удержаний	1) фамилия, имя, отчество (последнее - при наличии); 2) число, месяц, год и место рождения; 3) сведения о гражданстве; 4) сведения о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются); 5) сведения о выполняемой работе с начала трудовой деятельности (включая учебу в высших и средних специальных учебных заведениях, военную службу, работу по совместительству, предпринимательскую деятельность и т.п.); 6) сведения о близких родственниках, а также о супруге, в том числе бывшей (бывшем), супругах братьев и сестер, братьях и сестрах супругов; 7) паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения); 8) сведения о регистрации и/или фактическом месте жительства; 9) сведения о государственном пенсионном страховании гражданского служащего; 10) сведения о постановке на учет в налоговом органе по месту жительства на территории Российской Федерации; 11) номер личного и служебного телефона; 12) сведения о классном чине федеральной гражданской службы, дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации, квалификационном разряде государственной службы, классном чине муниципальной службы; 13) сведения о судимости (отсутствии судимости); 14) сведения о допуске к государственной тайне; 15) сведения о пребывании за границей; 16) сведения о государственной регистрации актов гражданского состояния; 17) сведения о награждении государственными наградами Российской Федерации, Почетной грамотой Президента Российской Федерации, об объявлении благодарности Президента Российской Федерации, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются); 18) сведения об отношении к воинской обязанности; 19) сведения об аттестации гражданского служащего; 20) сведения о включении в кадровый резерв, а также об исключении из кадрового резерва; 21) сведения о наложении дисциплинарного взыскания до его снятия или отмены; 22) сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего и членов его семьи; 23) сведения об обязательном медицинском страховании гражданского служащего; 24) сведения о состоянии здоровья	1) государственные гражданские служащие департамента; 2) лица, замещающие должности, не являющиеся должностями государственной гражданской службы Новосибирской области
3	формирование кадрового резерва	1) фамилия, имя, отчество (последнее - при наличии); 2) число, месяц, год рождения; 3) сведения о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке; 4) сведения о замещаемой должности гражданской службы (замещаемой должности и месте работы гражданина); 5) сведения о классном чине, дипломатическом ранге, воинском или специальном звании; 6) сведения о стаже гражданской службы (работе по специальности); 7) сведения о включении в кадровый резерв; 8) сведения о должности гражданской службы, для замещения которой гражданский служащий (гражданин) включен в кадровый резерв; 9) сведения о назначении на должность государственной гражданской службы	1) граждане, претендующие на замещение вакантных должностей государственной гражданской службы Новосибирской области; 2) государственные гражданские служащие Новосибирской области
4	представление граждан к получению наград	1) фамилия, имя, отчество (последнее - при наличии); 2) сведения о поле; 3) число, месяц, год и место рождения; 4) сведения о гражданстве; 5) паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения); 6) сведения о регистрации и/или фактическом месте жительства; 7) сведения о выполняемой работе с начала трудовой деятельности (включая учебу в высших и средних специальных учебных заведениях, военную службу, работу по совместительству, предпринимательскую деятельность и т.п.); 8) сведения о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются); 9) сведения о постановке на учет в налоговом органе по месту жительства на территории Российской Федерации; 10) сведения о наличии (отсутствии) судимости; 11) сведения о нарушении законодательства Российской Федерации о налогах и сборах; 12) сведения о нарушении таможенного законодательства	1) граждане Российской Федерации; 2) иностранные граждане; 3) лица без гражданства
5	рассмотрение обращений граждан, подготовка ответов на обращения	1) фамилия, имя, отчество (последнее - при наличии); 2) сведения о регистрации и/или фактическом месте жительства; 3) номер домашнего и/или служебного телефона, адрес электронной почты 4) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема, оказания государственной услуги или в процессе рассмотрения поступившего обращения	1) граждане Российской Федерации; 2) иностранные граждане; 3) лица без гражданства
6	учет студентов, проходящих производственную практику	1) фамилия, имя, отчество (последнее - при наличии); 2) наименование учебного заведения; 3) специальность, курс и номер группы	граждане Российской Федерации

УТВЕРЖДЕНЫ
приказом департамента
имущества и земельных отношений
Новосибирской области
от 31 мая 2023 г. N 1633-НПА

Правила рассмотрения запросов субъектов персональных данных или их представителей в департаменте имущества и земельных отношений Новосибирской области

С изменениями и дополнениями от:

27 июня 2023 г.

1. Общие положения

Информация об изменениях:

Пункт 1.1 изменен с 27 июня 2023 г. - Приказ Департамента имущества и земельных отношений Новосибирской области от 27 июня 2023 г. N 1911-НПА

См. предыдущую редакцию

1.1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в департаменте имущества и земельных отношений Новосибирской области (далее - Правила) разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют права субъектов персональных данных и обязанности департамента имущества и земельных отношений Новосибирской области (далее - Департамент) при обращении субъекта персональных данных или его представителя, а также сроки и порядок действий должностных лиц Департамента при рассмотрении запросов субъектов персональных данных или их представителей.

2. Права субъектов персональных данных

Информация об изменениях:

Пункт 2.1 изменен с 27 июня 2023 г. - Приказ Департамента имущества и земельных отношений Новосибирской области от 27 июня 2023 г. N 1911-НПА

См. предыдущую редакцию

2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Департаментом;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Департаментом способы обработки персональных данных;

- наименование и место нахождения Департамента, сведения о лицах (за исключением сотрудников Департамента), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Департаментом или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом N 152-ФЗ;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Департамента, если обработка поручена или будет поручена такому лицу;

- информацию о способах исполнения Департаментом обязанностей, установленных статьей 18.1 Федерального закона N 152-ФЗ;

- иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами.

2.2. Сведения, указанные в пункте 2.1 настоящих Правил, должны быть предоставлены субъекту персональных данных Департаментом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Информация об изменениях:

Пункт 2.3 изменен с 27 июня 2023 г. - Приказ Департамента имущества и земельных отношений Новосибирской области от 27 июня 2023 г. N 1911-НПА

См. предыдущую редакцию

2.3. Сведения, указанные в пункте 2.1 настоящих Правил, предоставляются субъекту персональных данных или его представителю Департаментом в течение десяти рабочих дней с момента обращения либо получения Департаментом запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Департаментом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Департаментом, либо сведения, иным образом подтверждающие факт обработки персональных данных Департаментом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Департамент предоставляет сведения, указанные в пункте 2.1 настоящих Правил, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе

2.4. В случае, если сведения, указанные в пункте 2.1 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Департамент или направить повторный запрос в целях получения сведений, указанных в пункте 2.1 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

2.5. Субъект персональных данных вправе обратиться повторно в Департамент или направить повторный запрос в целях получения сведений, указанных в пункте 2.1 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 2.4 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 2.3 настоящих Правил, должен содержать обоснование направления повторного запроса.

2.6. Департамент вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 2.4 и 2.5 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Департаменте.

2.7. Субъект персональных данных вправе требовать от Департамента уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

3. Обязанности департамента при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя

Информация об изменениях:

Пункт 3.1 изменен с 27 июня 2023 г. - Приказ Департамента имущества и земельных отношений Новосибирской области от 27 июня 2023 г. N 1911-НПА

См. предыдущую редакцию

3.1. Департамент обязуется сообщить в порядке, предусмотренном статьей 14 Федерального закона N 152-ФЗ, настоящими Правилами, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней, в случае направления Департаментом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

3.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Департамент обязуется дать в письменной форме мотивированный ответ с указанием причин отказа в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней, в случае направления Департаментом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

3.3. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Департамент обязуется внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Департамент обязуется уничтожить такие персональные данные. Департамент обязуется уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

3.4. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя Департамент обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Департамента) с момента такого обращения или получения указанного запроса на период проверки.

3.5. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя.

3.6. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу Департамент обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Департамента) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

3.7. В случае подтверждения факта неточности персональных данных Департамент на основании сведений, представленных субъектом персональных данных или его представителем, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Департамента) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

4. Порядок рассмотрения запросов субъектов персональных данных или их представителей

4.1. В день поступления запроса субъекта персональных данных или его представителя в Департамент указанный запрос необходимо зарегистрировать в соответствии с правилами документооборота, установленными Департаментом, а также внести соответствующую запись в Журнал учета обращений субъектов персональных данных и их представителей, форма которого утверждается приказом руководителя департамента.

4.2. Ответственный за организацию обработки персональных данных Департамента осуществляет непосредственный контроль за соблюдением установленного законодательством Российской Федерации и настоящими Правилами порядка рассмотрения запросов субъектов персональных данных или их представителей. На контроль берутся все запросы.

4.3. Ответственный за организацию обработки персональных данных и (или) структурное подразделение, ответственное за исполнение указанного запроса, обеспечивает рассмотрение запроса и подготовку необходимой информации в установленный действующим законодательством срок.

4.4. Для проверки фактов правонарушений, совершенных со стороны Департамента и изложенных в запросах объектов персональных данных и (или) их представителей, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации. В случае выявления фактов совершения сотрудниками Департамента действий (бездействия), содержащих признаки административного правонарушения или состава преступления, информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются руководителю.

4.5. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.

4.6. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.

УТВЕРЖДЕНЫ
приказом департамента
имущества и земельных отношений
Новосибирской области
от 31 мая 2023 г. N 1633-НПА

Правила
осуществления внутреннего контроля соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в департаменте имущества и земельных отношений Новосибирской области установленным требованиям

1. Общие положения

1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в департаменте имущества и земельных отношений Новосибирской области установленным требованиям (далее - Правила) разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", приказом Федеральной службы по техническому и экспортному контролю от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" и определяют порядок и мероприятия, проводимые в рамках внутреннего контроля соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в департаменте имущества и земельных отношений Новосибирской области (далее - Департамент, оператор) установленным требованиям.

1.2. К защищаемой информации, не содержащей сведения, составляющие государственную тайну (далее также - защищаемая информация), обрабатываемой в Департаменте, относится следующая информация:

- персональные данные (далее - ПДн);

- иная защищаемая информация, не содержащая сведения, составляющие государственную тайну, содержащаяся в государственных информационных системах Департамента.

1.3. Целью проведения внутреннего контроля является проверка соответствия обработки и обеспечения безопасности защищаемой информации (в том числе персональных данных), не содержащей сведения, составляющие государственную тайну, в Департаменте, требованиям законодательства Российской Федерации, нормативным правовым актам федеральных органов исполнительной власти Российской Федерации в области обработки и обеспечения безопасности защищаемой информации, локальным актам Департамента, регламентирующим вопросы обработки и защиты информации, а также своевременное выявление и предотвращение нарушений процедур обработки и защиты информации.

2. Порядок осуществления внутреннего контроля соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, установленным требованиям

2.1. В целях осуществления внутреннего контроля соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, установленным требованиям проводятся:

- контроль условий обработки персональных данных в Департаменте;

- контроль выполнения мероприятий по обеспечению безопасности защищаемой информации (в том числе персональных данных), не содержащей сведения, составляющие государственную тайну, обрабатываемой в Департаменте.

2.2. Организацию и проведение контроля соответствия условий обработки персональных данных установленным требованиям обеспечивает лицо, ответственное за организацию обработки персональных данных в Департаменте.

2.3. Организацию и проведение контроля выполнения мероприятий по обеспечению безопасности защищаемой информации (в том числе персональных данных), не содержащей сведения, составляющие государственную тайну, обрабатываемой в Департаменте, установленным требованиям обеспечивают лица, ответственные за защиту информации, не содержащей сведения, составляющие государственную тайну, содержащейся в информационных системах Департамента (далее - ответственный за защиту информации).

2.4. Плановые проверки соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, установленным требованиям проводятся на основании плана проведения внутреннего контроля соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Департаменте установленным требованиям (далее - План проведения внутреннего контроля) (Приложение N 1 к настоящим Правилам).

2.5. Внеплановые внутренние проверки соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, установленным требованиям проводятся на основании поступившей информации о нарушениях правил обработки и защиты информации в Департаменте. Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях правил обработки и защиты информации.

2.6. Проверки проводятся лицами, ответственными за проведение контрольных мероприятий согласно Плану проведения внутреннего контроля, с привлечением при необходимости иных сотрудников Департамента (в пределах их компетенции) и (или) сотрудников иных организаций, обеспечивающих функционирование информационных систем Департамента (осуществляющих функции системных администраторов), и (или) осуществляющих администрирование (управление) системой защиты информации информационных систем Департамента (осуществляющих функции администраторов информационной безопасности).

2.7. Проверки проводятся при непосредственном участии сотрудников Департамента, осуществляющих обработку защищаемой информации, не содержащей сведения, составляющие государственную тайну.

2.8. Контроль соответствия условий обработки персональных данных установленным требованиям осуществляется непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест работников Департамента, участвующих в процессе обработки персональных данных.

2.9. Контроль выполнения мероприятий по обеспечению безопасности защищаемой информации может осуществляться с использованием стандартных процедур документальной проверки, опроса пользователей и ответственных лиц, а также с применением как специализированных средств (например, средств защиты информации, средств анализа защищенности), так и штатных средств операционных систем и иных программных продуктов (в том числе средств регистрации действий пользователей и процессов, журналов регистрации событий безопасности).

2.10. При осуществлении внутреннего контроля соответствия условий обработки ПДн установленным требованиям производится проверка:

- соблюдения принципов обработки ПДн, законности целей обработки ПДн;

- соблюдения прав субъектов ПДн, чьи ПДн обрабатываются оператором,

- соблюдение обязанностей оператора, предусмотренных действующим законодательством в области ПДн;

- изменений правил обработки и защиты ПДн;

- соответствия состава и содержания локальных актов оператора в области обработки и защиты персональных данных действующему законодательству Российской Федерации;

- выполнения сотрудниками оператора требований и правил обработки ПДн;

- актуальности перечня лиц, уполномоченных на обработку ПДн и имеющих доступ к ПДн;

- санкционирования и учета физического доступа в помещения и сооружения, в которых размещены информационные системы Департамента и ведется обработка персональных данных;

- порядка взаимодействия с субъектами, ПДн которых обрабатываются оператором;

- наличия необходимых согласий субъектов, чьи ПДн обрабатываются оператором;

- актуальности сведений, содержащихся в уведомлении об обработке (о намерении осуществлять обработку) ПДн;

- актуальности перечня информационных систем Департамента;

- знания и соблюдения сотрудниками оператора положений действующего законодательства Российской Федерации в области обработки и защиты информации, локальных актов оператора;

- подписания сотрудниками Департамента обязательств о соблюдении конфиденциальности информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и обязательств о прекращении обработки персональных данных в случае расторжения с ними служебного контракта (трудового договора);

- актуальности оценки соотношения вреда, который может быть причинен субъектам ПДн в случае нарушения требований по обработке и обеспечению безопасности ПДн, и принимаемых мер по обработке и обеспечению безопасности ПДн в Департаменте.

2.11. В ходе контроля выполнения мероприятий по обеспечению безопасности защищаемой информации осуществляются:

- контроль за проведением анализа угроз безопасности защищаемой информации;

- контроль за обеспечением управления (администрирования) системой защиты информации информационных систем Департамента, в которых осуществляется обработка защищаемой информации;

- контроль за обеспечением управления конфигурацией информационных систем Департамента, в которых осуществляется обработка защищаемой информации, и их системой защиты информации;

- контроль за реализацией процедур реагирования на инциденты информационной безопасности;

- контроль за проведением информирования и обучения персонала информационных систем Департамента, в которых осуществляется обработка защищаемой информации, по вопросам защиты информации;

- контроль за обеспечением требуемого уровня защищенности информации, обрабатываемых в информационных системах Департамента.

2.12. В целях документирования результатов контроля условий обработки ПДн в Департаменте установленным требованиям лицо, ответственное за организацию обработки ПДн в Департаменте, составляют отчет с указанием мер, необходимых для устранения выявленных нарушений, по форме, приведенной в Приложении N 2 к настоящим Правилам.

2.13. В целях документирования результатов контроля выполнения мероприятий по обеспечению безопасности защищаемой информации, обрабатываемой в Департаменте, ответственный за защиту информации составляет Протокол контроля за выполнением требований по обеспечению безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Департаменте по форме, приведенной в Приложении N 3 к настоящим Правилам.

2.14. Сведения о проведении внутреннего контроля соответствия обработки защищаемой информации в Департаменте установленным требованиям заносятся в Журнал проведения внутреннего контроля соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Департаменте установленным требованиям (далее - Журнал) (типовая форма Журнала приведена в Приложении N 4 к настоящим Правилам). Ведение Журнала осуществляется в пределах своих полномочий лицом, ответственным за организацию обработки ПДн в Департаменте, и ответственным за защиту информации в Департаменте.

2.15. О результатах внутреннего контроля и мерах, необходимых для устранения выявленных нарушений, лицо, ответственное за организацию обработки ПДн в Департаменте, и ответственный за защиту информации в Департаменте в пределах своей компетенции докладывают руководителю или лицу, его замещающему.

ПРИЛОЖЕНИЕ N 1
к Правилам осуществления внутреннего
контроля соответствия обработки защищаемой
информации, не содержащей сведения,
составляющие государственную тайну,
в департаменте имущества и земельных
отношений Новосибирской области
установленным требованиям

План проведения внутреннего контроля соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в департаменте имущества и земельных отношений Новосибирской области установленным требованиям

1. Контроль условий обработки персональных данных в департаменте имущества и земельных отношений Новосибирской области

Перечень мероприятий, проводимых в рамках внутреннего контроля соответствия условий обработки персональных данных (далее - ПДн) в департаменте имущества и земельных отношений Новосибирской области (далее - Департамент, оператор) установленным требованиям, их периодичность и ответственные исполнители приведены в Таблице 1.

Таблица 1 - Перечень мероприятий, проводимых в рамках внутреннего контроля соответствия условий обработки ПДн

N п/п	Периодичность	Мероприятие	Ответственный исполнитель
1.	Не реже одного раза в год	Контроль актуальности положений Политики в отношении обработки ПДн, соблюдения прав субъектов ПДн, чьи ПДн обрабатываются в ИС Департамента, и обязанностей оператора, предусмотренных действующим законодательством в области ПДн	Ответственный за организацию обработки ПДн в Департаменте
2.	Не реже одного раза в год	Контроль изменений правил обработки и защиты ПДн (принципов, целей обработки ПДн, состава и количества субъектов ПДн и состава ПДн, обрабатываемых в Департаменте, способов обработки ПДн и актуальности ранее установленного уровня защищенности ПДн пр.)	Ответственный за организацию обработки ПДн в Департаменте
3.	Не реже одного раза в год	Контроль состава и соответствия содержания локальных актов Департамента в области обработки и защиты ПДн действующему законодательству Российской Федерации	Ответственный за организацию обработки ПДн в Департаменте
4.	Не реже одного раза в год	Контроль выполнения сотрудниками Департамента требований и правил обработки ПДн (правильности осуществления сбора, систематизации, записи, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения ПДн)	Ответственный за организацию обработки ПДн в Департаменте
5.	Не реже одного раза в год	Контроль актуальности перечня лиц, уполномоченных на обработку ПДн и имеющих доступ к ПДн	Ответственный за организацию обработки ПДн в Департаменте
6.	Не реже одного раза в год	Контроль санкционирования и учета физического доступа в помещения и сооружения, в которых размещены информационные системы Департамента и ведется обработка ПДн (контроль актуальности Перечня лиц, имеющих доступ в помещения, в которых размещены информационные системы Департамента и ведется обработка информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну; контроль выдачи и наличия ключей от помещений; контроль соблюдения порядка доступа в помещения, в которых, в которых размещены информационные системы Департамента и ведется обработка информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну)	Ответственный за организацию обработки ПДн в Департаменте
7.	Не реже одного раза в год	Контроль соблюдения порядка взаимодействия с субъектами ПДн (в том числе соблюдения сроков, предусмотренных действующим законодательством в области ПДн, соблюдения требований по уведомлениям, порядка разъяснения субъектам ПДн необходимой информации, порядка реагирования на обращения (запросы) субъектов ПДн, порядка действий при достижении целей обработки ПДн и отзыве согласий субъектами ПДн)	Ответственный за организацию обработки ПДн в Департаменте
8.	Не реже одного раза в год	Контроль наличия необходимых согласий субъектов, чьи ПДн обрабатываются в Департаменте	Ответственный за организацию обработки ПДн в Департаменте
9.	В случае изменения сведений, указанных в уведомлении об обработке ПДн, а также в случае прекращения обработки ПДн в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн	Контроль актуальности сведений, содержащихся в уведомлении об обработке ПДн	Ответственный за организацию обработки ПДн в Департаменте
10.	Не реже одного раза в год	Контроль подписания сотрудниками Департамента обязательств о соблюдении конфиденциальности информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, и обязательств о прекращении обработки персональных данных в случае расторжения с ними служебного контракта (трудового договора)	Ответственный за организацию обработки ПДн в Департаменте
11.	Не реже одного раза в год	Проверка ознакомления сотрудников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн и локальными актами Департамента по вопросам обработки ПДн, а также знания и соблюдения ими требований и положений вышеуказанных документов	Ответственный за организацию обработки ПДн в Департаменте
12.	Не реже одного раза в год	Контроль за уничтожением ПДн, а также электронных (бумажных) носителей ПДн	Ответственный за организацию обработки ПДн в Департаменте
13.	Не реже одного раза в год	Контроль соответствия оценки соотношения вреда, который может быть причинен субъектам ПДн в случае нарушения требований по обработке и обеспечению безопасности ПДн, и принимаемых мер по обработке и обеспечению безопасности ПДн в Департаменте	Ответственный за организацию обработки ПДн в Департаменте

2. Контроль выполнения мероприятий по обеспечению безопасности защищаемой информации (в том числе персональных данных), не содержащей сведения, составляющие государственную тайну, обрабатываемой в департаменте имущества и земельных отношений Новосибирской области

Перечень проверок, осуществляемых в рамках контроля выполнения мероприятий по обеспечению безопасности защищаемой информации (в том числе персональных данных), не содержащей сведения, составляющие государственную тайну, обрабатываемой в Департаменте, их периодичность и ответственные исполнители, приведены в Таблице 2.

Таблица 2 - Перечень проверок, осуществляемых в рамках контроля выполнения мероприятий по обеспечению безопасности защищаемой информации

N п/п	Периодичность	Мероприятие	Ответственный исполнитель
1.	Контроль за проведением анализа угроз безопасности информации
1.1.	Не реже одного раза в 2 года	Контроль проведения периодического выявления, анализа и устранения уязвимостей ИС	Ответственный за защиту информации, не содержащей сведения, составляющие государственную тайну, содержащейся в информационных системах (далее - ИС) Департамента (далее - ответственный за защиту информации)
1.2.	Не реже одного раза в 2 года	Контроль проведения периодического анализа изменения угроз безопасности информации в ИС, возникающих в ходе их эксплуатации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации	Ответственный за защиту информации
2.	Контроль за обеспечением управления (администрирования) системой защиты информации
2.1.	Не реже одного раза в 2 года	Контроль закрепления в организационно-распорядительных документах (далее - ОРД по защите информации) порядка осуществления следующих мероприятий в рамках управления (администрирования) системой защиты информации: - управления учетными записями пользователей и правилами разграничения доступа в ИС; - управления средствами защиты информации ИС; - управления обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации; - порядка мониторинга и анализа зарегистрированных событий в ИС, связанных с обеспечением безопасности	Ответственный за защиту информации
2.2.	Не реже одного раза в 2 года	Контроль ведения и актуализации эксплуатационной документации (технических паспортов ИС Департамента) и ОРД по защите информации	Ответственный за защиту информации
3.	Контроль за обеспечением управления конфигурацией ИС и их системами защиты информации
3.1.	Не реже одного раза в 2 года	Контроль определения в ОРД по защите информации объектов управления конфигурацией и процедур управления изменениями ИС и их систем защиты	Ответственный за защиту информации
3.2.	Не реже одного раза в 2 года	Контроль документирования изменений в конфигурации ИС Департамента и их систем защиты информации: состава, мест установки и параметров настройки программно-аппаратных, программных средств, включая средства защиты информации (контроль внесения информации (данных) в технические паспорта ИС, протоколы настройки средств защиты информации, перечень разрешенного к использованию программного обеспечения и пр.)	Ответственный за защиту информации
4.	Контроль за реализацией процедур реагирования на инциденты безопасности
4.1.	Не реже одного раза в 2 года	Контроль закрепления в ОРД по защите информации порядка обнаружения инцидентов и информирования ответственных лиц о возникновении инцидентов безопасности, а также порядка реагирования на инциденты безопасности	Ответственный за защиту информации
5.	Контроль за проведением информирования и обучения персонала ИС по вопросам защиты информации
5.1.	Не реже одного раза в год	Контроль информирования персонала о появлении актуальных угроз безопасности информации, о правилах безопасной эксплуатации ИС	Ответственный за защиту информации
5.2.	Не реже одного раза в год	Контроль доведения до персонала ИС требований по защите информации, а также положений ОРД по защите информации	Ответственный за защиту информации
5.3.	Не реже одного раза в год	Контроль обучения персонала ИС правилам эксплуатации отдельных средств защиты информации	Ответственный за защиту информации
5.4.	Не реже одного раза в год	Проверка проведения контроля осведомленности персонала ИС об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения защиты информации	Ответственный за защиту информации
6.	Контроль за обеспечением уровня защищенности информации, содержащейся в ИС
6.1.	Контроль (анализ) защищенности информации ИС
6.1.1.	Не реже одного раза в 2 года	Контроль установки обновлений программного обеспечения (общесистемного, прикладного, программных средств защиты информации), в том числе проверка обновлений баз применяемых в ИС средств защиты информации (для средств антивирусной защиты и средств анализа защищенности)	Ответственный за защиту информации (с привлечением лиц, осуществляющих функции администратора информационной безопасности 1, и лиц, осуществляющих функции системных администраторов 2)
6.1.2.	Не реже одного раза в 2 года	Проверка проведения контроля работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
6.1.3.	Не реже одного раза в 2 года	Проверка проведения контроля состава технических средств, программного обеспечения и средств защиты информации
6.1.4.	Не реже одного раза в год	Контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации	Ответственный за защиту информации
6.1.5.	Не реже одного раза в 2 года	Контроль реализации мер защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, при ее передаче по каналам связи, имеющим выход за пределы контролируемой зоны	Ответственный за защиту информации (с привлечением лиц, осуществляющих функции администратора информационной безопасности)
6.1.6.	Не реже одного раза в 2 года	Контроль соблюдения правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей ИС Департамента	Ответственный за защиту информации (с привлечением лиц, осуществляющих функции администратора информационной безопасности, и лиц, осуществляющих функции системных администраторов)
6.2.	Анализ и оценка функционирования системы защиты информации ИС, включая выявление, анализ и устранение недостатков в функционировании системы защиты информации ИС
6.2.1.	Не реже одного раза в год	Контроль наличия технической и эксплуатационной документации на технические и программные средства, применяемые в ИС	Ответственный за защиту информации
6.2.2.	Не реже одного раза в год	Контроль проведения процедур уничтожения (стирания) защищаемой информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации	Ответственный за защиту информации
6.2.3.	Не реже одного раза в год	Контроль поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним	Ответственный за защиту информации
6.2.4.	Не реже одного раза в год	Контроль учёта машинных носителей информации	Ответственный за защиту информации
6.2.5.	Не реже одного раза в 2 года	Проверка проведения контроля безотказного функционирования технических средств, обнаружение и локализацию отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование	Ответственный за защиту информации (с привлечением лиц, осуществляющих функции администратора информационной безопасности, и лиц, осуществляющих функции системных администраторов)
6.2.6.	Не реже одного раза в 2 года	Проверка проведения контроля работоспособности средств резервного копирования, средств хранения резервных копий и средств восстановления информации из резервных копий	Ответственный за защиту информации (с привлечением лиц, осуществляющих функции системных администраторов, лиц, осуществляющих процедуру резервного копирования)
6.2.7.	В режиме мониторинга в ходе эксплуатации ИС	Контроль проведения периодических проверок компонентов ИС на наличие вредоносных компьютерных программ (вирусов)	Ответственный за защиту информации
6.2.8.	Не реже одного раза в 2 года	Пересмотр перечня событий безопасности, подлежащих регистрации в ИС	Ответственный за защиту информации
6.2.9.	Не реже одного раза в год	Проверка расположения средств отображения информации	Ответственный за защиту информации
7.	В случае вывода из эксплуатации ИС или после принятия решения об окончании обработки информации	Контроль за обеспечением защиты информации при выводе из эксплуатации аттестованной ИС или после принятия решения об окончании обработки информации	Ответственный за защиту информации

¹ Администраторами информационной безопасности являются лица, осуществляющие администрирование (управление) системой защиты информации ИС Департамента, назначенные из числа сотрудников Департамента, и (или) являющиеся сотрудниками иных организаций, привлекаемых к выполнению работ по защите информации на договорной основе

² Системными администраторами являются лица, обеспечивающие функционирование ИС Департамента, назначенные из числа сотрудников Департамента, и (или) являющиеся сотрудниками иных организаций

ПРИЛОЖЕНИЕ N 2
к Правилам осуществления внутреннего
контроля соответствия обработки защищаемой
информации, не содержащей сведения,
составляющие государственную тайну,
в департаменте имущества и земельных
отношений Новосибирской области
установленным требованиям

Отчет о результатах контроля соответствия условий обработки персональных данных в департаменте имущества и земельных отношений Новосибирской области установленным требованиям

     1. Характеристика объекта контроля

     1.1. Наименование объекта контроля*(1):

_________________________________________________________________________________________

     1.2. Адрес размещения объекта контроля:

_________________________________________________________________________________________

     1.3. Категория персональных данных, обрабатываемых на объекте контроля:

_________________________________________________________________________________________

     1.4. Уровень защищенности персональных данных при их обработке на объекте  контроля:

_________________________________________________________________________________________

     2. Метод проведения контроля*(2):

_________________________________________________________________________________________

     3. В ходе проверки были проведены следующие мероприятия*(3):

_________________________________________________________________________________________

     4. Результаты проведения проверки:

_________________________________________________________________________________________

     5. Меры по устранению выявленных нарушений (при их наличии):

_________________________________________________________________________________________

В проведении контроля участвовали:

_________________________   ___________________________   _______________________________

        должность                    подпись                     фамилия, инициалы

_________________________   ___________________________   _______________________________

        должность                    подпись                     фамилия, инициалы

_________________________   ___________________________   _______________________________

        должность                    подпись                     фамилия, инициалы

                                 Дата проведения контроля: ______________________________

                                                                (число, месяц, год)

*(1) Указывается наименование структурного подразделения и (или) наименование информационной системы

*(2) Экспертно-документальный/инструментальный

*(3) Перечисляются мероприятия, проводимые в рамках внутреннего контроля соответствия условий обработки персональных данных, в соответствии с Планом проведения внутреннего контроля соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в департаменте имущества и земельных отношений Новосибирской области установленным требованиям

ПРИЛОЖЕНИЕ N 3
к Правилам осуществления внутреннего
контроля соответствия обработки защищаемой
информации, не содержащей сведения,
составляющие государственную тайну,
в департаменте имущества и земельных
отношений Новосибирской области
установленным требованиям

Протокол контроля за выполнением требований по обеспечению безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, в департаменте имущества и земельных отношений Новосибирской области

     1. Характеристика объекта контроля

     1.1. Наименование информационных(ой) систем(ы):

_________________________________________________________________________________________

     1.2. Адрес размещения объекта контроля:

_________________________________________________________________________________________

     1.3. Класс защищенности информационных(ой) систем(ы):

_________________________________________________________________________________________

     2. Метод проведения контроля*(1):

_________________________________________________________________________________________

     3.  Контроль  проводился  на  соответствие   требованиям   по   защите   информации,

установленным:

     -  постановлением  Правительства  Российской  Федерации  от  01.11.2012   N 1119 "Об

утверждении требований к защите персональных данных при  их  обработке  в  информационных

системах персональных данных";

     - приказом ФСТЭК России от 11.02.2013  N 17  "Об  утверждении  Требований  о  защите

информации,  не  составляющей  государственную  тайну,  содержащейся  в   государственных

информационных системах".

     4. Сведения о проводимых в ходе контроля мероприятиях и результатах проверок:

N п/п	Мероприятия по контролю*(2)	Результаты проведения проверки

     5. Меры по устранению выявленных нарушений (при их наличии):

_________________________________________________________________________________________

В проведении контроля участвовали:

_________________________   ___________________________   _______________________________

        должность                    подпись                     фамилия, инициалы

_________________________   ___________________________   _______________________________

        должность                    подпись                     фамилия, инициалы

                                 Дата проведения контроля: ______________________________

_________________________________________________________________________________________

                                                         (число, месяц, год)

*(1) Экспертно-документальный/инструментальный

*(2) Перечисляются мероприятия, проводимые в рамках контроля за выполнением мероприятий по обеспечению безопасности защищаемой информации в соответствии с Планом проведения внутреннего контроля соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Департаменте имущества и земельных отношений Новосибирской области установленным требованиям

ПРИЛОЖЕНИЕ N 4
к Правилам осуществления внутреннего контроля
соответствия обработки защищаемой информации,
не содержащей сведения, составляющие
государственную тайну, в департаменте имущества
и земельных отношений Новосибирской области
установленным требованиям

ЖУРНАЛ
проведения внутреннего контроля соответствия обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в департаменте имущества и земельных отношений Новосибирской области установленным требованиям

N п/п	Дата проведения контроля	Краткое содержание мероприятий по контролю	Исполнитель (ФИО (отчество при наличии), подпись)	Примечание
1	2	3	4	5
			-

УТВЕРЖДЕН
приказом департамента
имущества и земельных отношений
Новосибирской области
от 31 мая 2023 г. N 1633-НПА

Перечень
информационных систем персональных данных в департаменте имущества и земельных отношений Новосибирской области

1. Государственная информационная система "Система электронного документооборота и делопроизводства Новосибирской области".

2. Информационная система кадрового учета государственных гражданских служащих Новосибирской области.

3. Автоматизированная система "Смета".

4. Государственная информационная система Новосибирской области "Межведомственная автоматизированная система".

УТВЕРЖДЕН
приказом департамента
имущества и земельных отношений
Новосибирской области
от 31 мая 2023 г. N 1633-НПА

Перечень
должностей в департаменте имущества и земельных отношений Новосибирской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

1. Руководитель департамента.

2. Заместитель руководителя.

3. Заместитель руководителя - начальник отдела.

4. Начальник отдела.

5. Заместитель начальника отдела.

6. Консультант.

7. Главный специалист.

8. Главный эксперт.

9. Ведущий эксперт.

УТВЕРЖДЕН
приказом департамента
имущества и земельных отношений
Новосибирской области
от 31 мая 2023 г. N 1633-НПА

Перечень
должностных обязанностей, включаемых в должностной регламент лица, ответственного за организацию обработки персональных данных в департаменте имущества и земельных отношений Новосибирской области

1. Ответственный за организацию обработки персональных данных (далее - ПДн) в своей работе руководствуется нормативными правовыми актами Российской Федерации, нормативными правовыми актами, методическими документами и иными документами Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России), Федеральной службы безопасности Российской Федерации (далее - ФСБ России), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) и внутренними документами департамента имущества и земельных отношений Новосибирской области (далее - Департамент), регламентирующими вопросы обработки и защиты ПДн, и отвечает за организацию, обеспечение своевременного и квалифицированного выполнения сотрудниками Департамента законодательства Российской Федерации о ПДн, в том числе требований к обработке и защите ПДн.

2. Ответственный за организацию обработки персональных данных получает указания непосредственно от руководителя Департамента или иного уполномоченного лица и подотчетен ему.

3. Ответственный за организацию обработки ПДн обязан:

3.1. Знать и соблюдать требования действующих нормативных правовых актов Российской Федерации, нормативных правовых актов, методических документов и иных документов ФСТЭК России, ФСБ России и Роскомнадзора, а также локальных актов Департамента, регламентирующих вопросы в сфере (области) обработки и обеспечения безопасности ПДн.

3.2. Обеспечить проведение работ по определению и пересмотру (при необходимости) уровня защищенности ПДн при их обработке в информационных системах (далее - ИС) Департамента в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 N 1119.

3.3. Обеспечить доведение до сведения сотрудников Департамента положений законодательства Российской Федерации о ПДн, локальных актов Департамента по вопросам обработки ПДн, требований к защите ПДн. В случае изменения нормативной правовой базы, локальных актов Департамента в области обработки и защиты ПДн обучение (информирование) сотрудников должно быть проведено не позднее одного месяца с момента изменений.

3.4. Осуществлять ведение Журнала учета ознакомления сотрудников с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, а также информирования и ознакомления сотрудников по вопросам информационной безопасности. Форма журнала утверждается приказом руководителя департамента.

3.5. Осуществлять внутренний контроль за соблюдением сотрудниками Департамента законодательства Российской Федерации о ПДн, в том числе требований к обработке и защите ПДн.

3.6. Обеспечивать организацию приема и обработку обращений и запросов субъектов ПДн и их представителей по вопросам обработки ПДн и осуществлять контроль над приемом и обработкой таких обращений и запросов.

3.7. Осуществлять ведение Журнала учета обращений субъектов ПДн и их представителей, форма которого утверждается приказом руководителя департамента.

3.8. Обеспечивать ведение и контроль за ведением документации, предусмотренной локальными актами Департамента в части осуществления обработки и обеспечения безопасности ПДн.

3.9. Обеспечить поддержание в актуальном состоянии (пересмотр и доработку) локальных актов Департамента в области обработки и защиты ПДн.

3.10. Обеспечивать учет сотрудников Департамента, допущенных к обработке ПДн (как в программных комплексах, используемых для обработки персональных данных в Департаменте, так и на бумажных носителях).

3.11. Обеспечивать контроль за поддержанием в актуальном состоянии уведомления уполномоченного органа по защите прав субъектов ПДн об обработке ПДн.

3.12. Сообщать обо всех зафиксированных попытках посторонних лиц получить несанкционированный доступ к персональным данным и о возникновении иных инцидентов в информационных системах Департамента своему непосредственному руководителю и ответственному за защиту информации в Департаменте.

3.13. Принимать участие в расследовании нарушений по вопросам обработки и защиты персональных данных в Департаменте, разрабатывать предложения по устранению недостатков и предупреждению подобного рода нарушений.

3.14. Участвовать в мероприятиях при проведении государственного контроля и надзора за соответствием обработки ПДн, выполнением организационных и технических мер по обеспечению безопасности ПДн.

3.15. Осуществлять оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Департаментом Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в соответствии с утверждаемыми приказом руководителя департамента Правилами оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения указанного Федерального закона.

3.16. Осуществлять в пределах своей компетенции иные функции в соответствии с целями и задачами Департамента.

4. Ответственный за организацию обработки ПДн вправе:

4.1. Знакомиться в установленном порядке с документами и материалами, необходимыми для выполнения возложенных на него задач.

4.2. Проходить обучение по вопросам обработки и защиты ПДн в специализированных учебных центрах.

4.3. Требовать от своего непосредственного руководителя обеспечения организационно-технических условий, необходимых для исполнения своих обязанностей.

4.4. Получать доступ к информации, материалам, техническим средствам, помещениям, необходимым для надлежащего исполнения своих прав и обязанностей.

4.5. Обращаться за необходимыми разъяснениями по вопросам функционирования программных и технических средств информационных систем Департамента и обеспечения безопасности ПДн к уполномоченным лицам, осуществляющим администрирование (управление) информационных систем Департамента и обеспечение защиты информации в Департаменте.

4.6. Требовать от сотрудников Департамента соблюдения требований действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн, локальных актов Департамента по вопросам обработки ПДн и требований по защите ПДн в части, их касающейся.

4.7. Проводить проверки соблюдения режима обеспечения безопасности ПДн в структурных подразделениях Департамента.

4.8. Инициировать проведение и принимать участие в служебных расследованиях по фактам нарушения сотрудниками Департамента установленных требований обработки и защиты ПДн.

4.9. Требовать прекращения обработки ПДн в случае нарушения правил обработки и требований по защите ПДн.

4.10. Привлекать в случае необходимости при проведении служебных расследований сотрудников Департамента, имеющих непосредственное отношение к рассматриваемым в ходе служебного расследования вопросам.

4.11. Вносить предложения по устранению выявленных инцидентов и предупреждению подобного рода нарушений.

4.12. Вносить предложения об отстранении от выполнения служебных обязанностей сотрудников, систематически нарушающих требования по обработке и защите ПДн.

5. Ответственный за организацию обработки ПДн несет предусмотренную законодательством Российской Федерации в соответствии с возложенными на него обязанностями ответственность за:

- неисполнение либо ненадлежащее исполнение возложенных на него обязанностей;

- превышение, злоупотребление или неправильное использование предоставленных полномочий, предусмотренных настоящим Перечнем;

- нарушение законодательства Российской Федерации, локальных актов Департамента, регламентирующих вопросы в сфере (области) обработки и обеспечения безопасности ПДн;

- применение к Департаменту штрафных санкций по вине ответственного за организацию обработки ПДн;

- совершение противоправных действий (уничтожение, изменение, блокирование, копирование, предоставление, распространение, а также иных неправомерных действий) в отношении информации, к которой он допущен в рамках выполнения своих должностных (функциональных) обязанностей.

УТВЕРЖДЕНО
приказом департамента
имущества и земельных отношений
Новосибирской области
от 31 мая 2023 г. N 1633-НПА

Типовое обязательство государственного служащего (работника) департамента имущества и земельных отношений Новосибирской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших ему известными в связи с исполнением должностных обязанностей

     Я, _________________________________________________________________________________

_________________________________________________________________________________________

_________________________________________________________________________________________

                    (фамилия, имя, отчество (при наличии), должность)

обязуюсь прекратить обработку персональных данных,  ставших  мне  известными  в   связи с

исполнением должностных обязанностей, в случае расторжения со мной  служебного  контракта

(трудового договора).

     В  соответствии  со  статьей  7  Федерального  закона  от  27.07.2006    N 152-ФЗ "О

персональных данных" (далее - закон "О персональных данных") я уведомлен(а)  о  том,  что

персональные данные являются конфиденциальной информацией, и я  обязан(а)  не  раскрывать

третьим лицам и не распространять персональные данные, ставшие известными мне в  связи  с

исполнением должностных обязанностей, без согласия  субъекта  персональных  данных,  если

иное не предусмотрено федеральным законом.

     Положения законодательства Российской Федерации,  предусматривающие  ответственность

за нарушение требований закона "О персональных данных", мне разъяснены.

____________________                            _________________________________________

   (дата)                                             (подпись, расшифровка подписи)

УТВЕРЖДЕНА
приказом департамента
имущества и земельных отношений
Новосибирской области
от 31 мая 2023 г. N 1633-НПА

Типовая форма согласия на обработку персональных данных государственных служащих департамента имущества и земельных отношений Новосибирской области, иных субъектов персональных данных

Я, _____________________________________________________________________________________,

                         (фамилия, имя, отчество (при наличии))

паспорт         серии         ___________        N    _____________,                выдан

_________________________________________________________________________________________

                                       (дата, кем)

адрес         регистрации         и          фактического         места        жительства

_________________________________________________________________________________________

_________________________________________________________________________________________

_________________________________________________________________________________________

свободно, своей волей и в своем интересе даю согласие уполномоченным  лицам  департамента

имущества и земельных отношений Новосибирской области (далее - департамент), находящегося

по адресу: 630007, г. Новосибирск, Красный проспект, 18,  на  обработку  (любое  действие

(операцию) или совокупность действий (операций),  совершаемых  с  использованием  средств

автоматизации или без использования таких средств с персональными данными, включая  сбор,

запись,  систематизацию,  накопление,  хранение,   уточнение   (обновление,   изменение),

извлечение,   использование,   передачу    (предоставление,    доступ),    обезличивание,

блокирование, удаление, уничтожение) следующих персональных данных:

1) фамилия, имя, отчество (последнее - при наличии);

2) число, месяц, год и место рождения;

3) сведения о гражданстве;

4) сведения о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);

5) сведения о выполняемой работе с начала трудовой деятельности (включая учебу в высших и средних специальных учебных заведениях, военную службу, работу по совместительству, предпринимательскую деятельность и т.п.);

6) сведения о близких родственниках, а также о супруге, в том числе бывшей (бывшем), супругах братьев и сестер, братьях и сестрах супругов;

7) паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения);

8) сведения о регистрации и/или фактическом месте жительства;

9) сведения о государственном пенсионном страховании гражданского служащего;

10) сведения о постановке на учет в налоговом органе по месту жительства на территории Российской Федерации;

11) номер личного и служебного телефона;

12) сведения о классном чине федеральной гражданской службы, дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации, квалификационном разряде государственной службы, классном чине муниципальной службы;

13) сведения о судимости (отсутствии судимости);

14) сведения о допуске к государственной тайне;

15) сведения о пребывании за границей;

16) сведения о государственной регистрации актов гражданского состояния;

17) сведения о награждении государственными наградами Российской Федерации, Почетной грамотой Президента Российской Федерации, об объявлении благодарности Президента Российской Федерации, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются);

18) сведения об отношении к воинской обязанности;

19) сведения об аттестации гражданского служащего;

20) сведения о включении в кадровый резерв, а также об исключении из кадрового резерва;

21) сведения о наложении дисциплинарного взыскания до его снятия или отмены;

22) сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего и членов его семьи;

23) сведения об обязательном медицинском страховании гражданского служащего;

24) сведения о состоянии здоровья.

Вышеуказанные персональные данные предоставляю для обработки в целях обеспечения соблюдения в отношении меня законодательства Российской Федерации и Новосибирской области в сфере отношений, связанных с поступлением на государственную гражданскую службу Новосибирской области, ее прохождением и прекращением для реализации полномочий, возложенных на департамент законодательством Российской Федерации и Новосибирской области.

Я ознакомлен(а), что:

1) согласие на обработку персональных данных действует с даты подписания настоящего согласия в течение всего срока государственной гражданской службы (работы) в департаменте;

2) согласие на обработку персональных данных может быть отозвано на основании письменного заявления в произвольной форме;

3) в случае отзыва согласия на обработку персональных данных, департамент вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

4) после увольнения с государственной гражданской службы персональные данные хранятся в департаменте в течение сроков хранения документов, предусмотренных законодательством Российской Федерации;

5) персональные данные, предоставляемые в отношении третьих лиц, будут обрабатываться только в целях осуществления и выполнения возложенных законодательством Российской Федераций и Новосибирской области на департамент функций, полномочий и обязанностей;

6) персональные данные уничтожаются: по достижении целей обработки персональных данных; при упразднении или реорганизации департамента; на основании моего письменного обращения с требованием о прекращении обработки персональных данных (департамент прекратит обработку таких персональных данных в течение 3 (трех) рабочих дней со дня получения письменного обращения, о чем я буду письменно уведомлен (а) в течение 10 (десяти) рабочих дней со дня прекращения обработки персональных данных).

     Дата начала обработки персональных данных: _____________________

                                                 (число, месяц, год)

                        _____________ ______________________________

                          (подпись)   (Ф.И.О (отчество при наличии))

УТВЕРЖДЕНА
приказом департамента
имущества и земельных отношений
Новосибирской области
от 31 мая 2023 г. N 1633-НПА

Типовая форма разъяснения
субъекту персональных данных юридических последствий отказа предоставить свои персональные данные

     Мне,

________________________________________________________________________________________,

                          (фамилия, имя, отчество (при наличии)

разъяснены  юридические  последствия  отказа  предоставить   свои     персональные данные

уполномоченным лицам департамента имущества и земельных отношений Новосибирской области.

     В соответствии со статьями 26 и 42 Федерального  закона  от  27.07.2004   N 79-ФЗ "О

государственной гражданской службе Российской Федерации",  статьями  65  и  86  Трудового

кодекса Российской Федерации департаментом имущества и земельных отношений  Новосибирской

области определен перечень  персональных  данных,  которые  субъект  персональных  данных

обязан предоставить уполномоченным лицам департамента  имущества  и  земельных  отношений

Новосибирской  области  в  связи   с   поступлением,   прохождением   и     увольнением с

государственной гражданской службы  Новосибирской  области  (работы).  Без  представления

субъектом персональных данных обязательных для заключения служебного контракта (трудового

договора) сведений служебный контракт (трудовой договор) не может быть заключен.

     ________________                                        _____________________

       (дата)                                                      (подпись)

УТВЕРЖДЕН
приказом департамента
имущества и земельных отношений
Новосибирской области
от 31 мая 2023 г. N 1633-НПА

Порядок
доступа государственных гражданских служащих департамента имущества и земельных отношений Новосибирской области, лиц, замещающих должности, не являющиеся должностями государственной гражданской службы, в помещения департамента, в которых ведется обработка персональных данных

1. Настоящий Порядок устанавливает единые требования к доступу в служебные помещения в целях предотвращения нарушения прав субъектов персональных данных и обеспечения соблюдения требований законодательства о персональных данных и обязателен для применения и исполнения всеми государственными гражданскими служащими Новосибирской области, лицами, замещающими должности, не являющиеся должностями государственной гражданской службы Новосибирской области (далее - работники департамента).

2. В помещениях, в которых ведется обработка персональных данных, должна быть исключена возможность бесконтрольного проникновения посторонних лиц и обеспечена сохранность находящихся в этих помещениях документов и средств автоматизации.

3. Входные двери оборудуются замками, гарантирующими надежное закрытие помещений в нерабочее время.

4. По завершении рабочего дня, помещения, в которых ведется обработка персональных данных, закрываются.

5. Вскрытие помещений, где ведется обработка персональных данных, производят работники департамента, работающие в этих помещениях.

6. При обнаружении повреждений замков или других признаков, указывающих на возможное проникновение посторонних лиц в помещения, в которых ведется обработка персональных данных, эти помещения не вскрываются, а составляется акт и о случившемся немедленно ставятся в известность руководитель департамента и правоохранительные органы.

Одновременно принимаются меры по охране места происшествия и до прибытия работников правоохранительных органов в эти помещения никто не допускается.