Приложение. Приказ Министерства юстиции Республики Татарстан от 15.03.2023 N 33од "О внесении изменения в Политику безопасности обработки персональных данных в Министерстве юстиции Республики Татарстан"

Политика безопасности обработки персональных данных в Министерстве юстиции Республики Татарстан
(утв. приказом Министерства юстиции РТ от 2 октября 2020 г. N 102од (в редакции приказа от 15 марта 2023 г. N 33од))

I. Общие положения

1.1. Политика безопасности обработки персональных данных в Министерстве юстиции Республики Татарстан (далее - Политика, Министерство) разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных (далее - Федеральный закон).

1.2. Целью Политики является определение безопасного порядка обработки персональных данных граждан, обратившихся в Министерство, а также сотрудников Министерства, обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным субъектов персональных данных Министерства, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.

1.3. Обработка персональных данных в Министерстве осуществляется в соответствии с требованиями Федерального закона, а также иных нормативных правовых актов в области защиты персональных данных.

1.3. Персональные данные граждан относятся к категории конфиденциальной информации.

II. Основные термины и определения

2.1. Для целей настоящей Политики применяются следующие термины и определения:

оператор персональных данных - Министерство, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

субъект персональных данных - физическое лицо, к которому относятся персональные данные;

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

санкционированный доступ к информации - доступ к информации, не нарушающий правила разграничения доступа;

несанкционированный доступ - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами;

общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных.

Иные термины и определения используются в значениях, установленных Федеральным законом.

III. Принципы обработки персональных данных. Общие требования к обработке персональных данных

3.1. Обработка персональных данных осуществляется на основе следующих принципов:

обработка персональных данных осуществляется на законной и справедливой основе;

обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработке подлежат только персональные данные, которые отвечают целям их обработки;

содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Министерство принимает меры по удалению или уточнению неполных или неточных данных;

хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2. В целях обеспечения прав и свобод человека и гражданина Министерство и работники, осуществляющие обработку персональных данных, при обработке персональных данных граждан или сотрудников Министерства соблюдают следующие общие требования:

при определении объема и содержания обрабатываемых персональных данных Министерство руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, законодательством Российской Федерации в сфере защиты персональных данных, противодействия коррупции и государственной гражданской службы;

обработка персональных данных сотрудников Министерства и членов их семей осуществляется исключительно в целях соблюдения законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов с учетом положений Федерального закона, оформления трудовых отношений, расчета и выдачи заработной платы или других доходов, расчета налоговых и пенсионных отчислений, содействия в трудоустройстве, обучении, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Министерства, сбора и обработки сведений о доходах и имуществе государственных гражданских служащих Республики Татарстан в Министерстве и аппаратах мировых судей Республики Татарстан и членов их семей;

Министерство не имеет права получать и обрабатывать персональные данные субъекта персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных федеральными законами. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации Министерство вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

в Министерстве запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъектов персональных данных или иным образом затрагивающих их права и законные интересы, за исключением случаев, предусмотренных федеральными законами;

решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, принимается на основании исключительно автоматизированной обработки его персональных данных только при наличии на это согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных;

Министерство разъясняет субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставляет возможность заявить возражение против такого решения, а также разъясняет порядок защиты своих прав и законных интересов;

Министерство рассматривает возражение субъекта персональных данных в течение 30 дней со дня регистрации письменного обращения и уведомляет его о результатах рассмотрения такого возражения;

защита персональных данных субъекта персональных данных от неправомерного их использования или утраты обеспечивается Министерством в порядке, установленном законодательством Российской Федерации;

правовые акты Министерства, устанавливающие порядок обработки персональных данных, размещаются на официальном сайте Министерства и доступны для ознакомления гражданам и сотрудникам Министерства.

IV. Условия обработки персональных данных. Согласие на обработку персональных данных

4.1. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом, и допускается в следующих случаях:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

обработка персональных данных необходима для осуществления и выполнения возложенных законодательством на Министерство функций, полномочий и обязанностей;

обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

обработка персональных данных необходима для исполнения полномочий Министерства по предоставлению государственных услуг, предусмотренных Федеральным законом "Об организации предоставления государственных и муниципальных услуг" включая регистрацию субъекта персональных данных на Едином портале государственных и муниципальных услуг и (или) Портале государственных и муниципальных услуг Республики Татарстан;

обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

обработка персональных данных необходима для осуществления прав и законных интересов Министерства или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного управления;

в иных случаях, установленных Федеральным законом.

4.2. Обработка специальных категорий персональных данных, биометрических персональных данных, трансграничная передача персональных данных без письменного согласия субъекта персональных данных осуществляются Министерством только в случаях, предусмотренных законодательством Российской Федерации.

4.3. Получение персональных данных преимущественно осуществляется путем представления их самим субъектом персональных данных на основании его письменного согласия, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с письменного согласия субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

фамилию, имя, отчество (последнее - при наличии), адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

фамилию, имя, отчество (последнее - при наличии), адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

наименование и адрес Министерства, получающего согласие;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Министерством способов обработки персональных данных;

срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено законодательством Российской Федерации;

подпись субъекта персональных данных.

V. Хранение и обработка персональных данных

5.1. Персональные данные хранятся и обрабатываются Министерством с соблюдением требований законодательства о защите персональных данных.

5.2. Обработка персональных данных в Министерстве осуществляется смешанным способом: неавтоматизированным и автоматизированным.

5.3. Персональные данные хранятся и обрабатываются в Министерстве на бумажных носителях и в электронном виде.

5.4. Хранение и обработка бумажных документов, содержащих персональные данные, осуществляется Министерством в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687, иными нормативными актами, регламентирующими специальный порядок хранения отдельных категорий документов.

5.5. Хранение и обработка персональных данных в электронном виде осуществляется Министерством в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

5.6. Хранение персональных данных как в электронном, так и на бумажных носителях в Министерстве осуществляется не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

5.7. Хранение документов, содержащих персональные данные, осуществляется в течение сроков хранения, установленных законодательством. По истечении установленных сроков хранения документы подлежат уничтожению способом, исключающим несанкционированный доступ третьих лиц к уничтожаемым документам.

VI. Защита персональных данных

6.1. Министерство при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, предусмотренные статьей 19 Федерального закона.

6.2. Безопасность персональных данных в Министерстве обеспечивается следующими мероприятиями:

определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

учетом машинных носителей персональных данных;

обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;

контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

6.3. Передача персональных данных третьим лицам Министерством осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральным законодательством.

VII. Общедоступные источники персональных данных

7.1. В целях информационного обеспечения Министерством могут создаваться общедоступные источники персональных данных для ознакомления с ними неопределенного круга лиц (в том числе сайты в сети Интернет, телефонные справочники, информационные стенды и т.д.). Включение персональных данных в общедоступные источники персональных данных возможно только при наличии его письменного согласия. В общедоступные источники персональных данных могут включаться только те персональные данные, которые указаны в письменном согласии субъекта персональных данных.

7.2. Сведения о субъекте персональных данных подлежат исключению из общедоступных источников персональных данных в любое время по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

VII. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

8.1. Сотрудники Министерства, виновные в нарушении правил обработки персональных данных, повлекшем за собой нарушение прав субъектов персональных данных, несут ответственность, установленную законодательством Российской Федерации.