Вход
- Главная
- Приказ Министерства экономического развития Новосибирской области от 9 июня 2023 г. N 75 "О внесении изменений в приказ министерства экономического развития Новосибирской области от 22.11.2022 N 173 "Об организации обработки персональных данных в министерстве экономического развития Новосибирской области"
Приказ Министерства экономического развития Новосибирской области от 9 июня 2023 г. N 75 "О внесении изменений в приказ министерства экономического развития Новосибирской области от 22.11.2022 N 173 "Об организации обработки персональных данных в министерстве экономического развития Новосибирской области"
Приказываю:
Внести в приказ министерства экономического развития Новосибирской области от 22.11.2022 N 173 "Об организации обработки персональных данных в министерстве экономического развития Новосибирской области" (в редакции приказа министерства экономического развития Новосибирской области от 06.02.2023 N 14) (далее - Приказ) следующие изменения:
1. Пункт 1 дополнить подпунктом 20 следующего содержания:
"20) Типовую форму согласия субъекта персональных данных на обработку персональных данных, разрешенных для распространения в министерстве экономического развития Новосибирской области".
2. В приложении N 1 к Приказу "Правила обработки персональных данных в министерстве экономического развития Новосибирской области":
1) в подпункте 3 пункта 7 после слов "оценка вреда" дополнить словами "в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных";
2) пункт 8 дополнить подпунктами 8, 9 следующего содержания:
"8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.".
3. В приложении N 2 к Приказу "Правила рассмотрения запросов субъектов персональных данных или их представителей в министерстве экономического развития Новосибирской области":
1) пункт 1 дополнить подпунктами 8.1, 8.2 следующего содержания:
"8.1) информацию об осуществленной или о предполагаемой трансграничной передаче данных";
8.2) информацию о способах исполнения министерством обязанностей, установленных Федеральным законом "О персональных данных" и предусмотренных локальными нормативными актами министерства, принятыми во исполнение Федерального закона "О персональных данных";
2) пункт 4 изложить в следующей редакции:
"4. Сведения, указанные в пункте 1 настоящих Правил, предоставляются субъекту персональных данных или его представителю министерством в течение десяти рабочих дней с момента обращения либо получения министерством запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления министерством в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с министерством (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных министерством, подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Министерство предоставляет сведения, указанные в пункте 1 настоящих Правил, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.";
3) подпункты 1 и 2 пункта 8 изложить в следующей редакции:
"1) министерство обязано сообщить в порядке, предусмотренном пунктами 1 - 7 настоящих Правил, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления министерством в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;
2) в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя министерство обязано дать в письменной форме мотивированный ответ, с правовым обоснованием такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления министерством в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;".
4. Приложение N 5 к Приказу "Перечень информационных систем и информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, эксплуатируемых в министерстве экономического развития Новосибирской области" изложить в редакции согласно приложению N 1 к настоящему приказу.
5. В пунктах 9 и 10 приложения N 8 к Приказу "Перечень должностей в министерстве экономического развития Новосибирской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данными" слова "управления совершенствования государственного управления и правовой работы" заменить словами "управления совершенствования государственного управления и регуляторной политики".
6. Приложение N 11 к Приказу "Типовая форма согласия субъекта персональных данных на обработку персональных данных (для лиц, замещающих должности, не относящиеся к должностям государственной гражданской службы в министерстве экономического развития Новосибирской области)" изложить в редакции согласно приложению N 2 к настоящему приказу.
7. Приложение N 12 к Приказу "Типовая форма согласия субъекта персональных данных на обработку персональных данных (для лиц, замещающих должности, не относящиеся к должностям государственной гражданской службы в министерстве экономического развития Новосибирской области)" изложить в редакции согласно приложению N 3 к настоящему приказу.
8. Приложение N 13 к Приказу "Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные" изложить в редакции согласно приложению N 4 к настоящему приказу.
9. В приложении N 15 к Приказу "Инструкция ответственного за организацию обработки персональных данных в министерстве экономического развития":
1) пункт 5 дополнить подпунктом 4.1 следующего содержания:
"4.1) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;";
2) в подпункте 8 пункта 6 после слова "данных" дополнить словами "в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных".
10. В приложении N 16 к Приказу "Политика в отношении обработки персональных данных в министерстве экономического развития Новосибирской области":
1) абзац "г" подпункта 2 пункта 3 изложить в следующей редакции:
"г) сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления министерством в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;";
2) пункт 4 дополнить абзацем "е" следующего содержания:
"е) информацию о способах исполнения министерством обязанностей, установленных Федеральным законом "О персональных данных" и предусмотренных локальными нормативными актами министерства, принятыми во исполнение Федерального закона "О персональных данных";
3) наименование раздела III изложить в следующей редакции:
"III. Правовые основания обработки персональных данных";
4) пункт 19 дополнить подпунктом 7 следующего содержания:
"7) обращение субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных.";
5) пункты 20 - 22 изложить в следующей редакции:
"20. Организация хранения персональных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации и (или) договором, стороной которого является субъект персональных данных.
21. Для организации хранения персональных данных в случае автоматизированной обработки министерство в соответствии с частью 5 статьи 18 ФЗ "О персональных данных" использует сервера и другие технические устройства хранения данных, находящиеся на территории Российской Федерации. При обработке персональных данных без использования средств автоматизации хранение организовано в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением
Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", а именно:
1) министерством определены места хранения персональных данных (материальных носителей) и установлены перечни лиц, осуществляющих обработку персональных данных без использования средств автоматизации либо имеющих к ним доступ;
2) обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
3) министерством определен перечень лиц, ответственных за реализацию организационно-режимных мер, направленных на обеспечение сохранности персональных данных, обработка которых осуществляется без использования средств автоматизации, и исключающих несанкционированный к ним доступ, и обеспечен контроль за их соблюдением.
22. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.";
6) пункты 24 - 25 изложить в следующей редакции:
"24. Уничтожение, прекращение персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также в случае отзыва согласия субъекта персональных данных на обработку его персональных данных или в случае выявления неправомерной обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, или иным соглашением между министерством и субъектом персональных данных. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящим пунктом, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 ФЗ "О персональных данных". Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, министерство обязано с момента выявления такого инцидента министерством, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
25. Порядок рассмотрения запросов субъектов персональных данных.
Министерство обязуется сообщать субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по его запросу.
Сведения, указанные в абзаце втором настоящего пункта, предоставляются субъекту персональных данных или его представителю министерством в течение десяти рабочих дней с момента обращения либо получения министерством запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления министерством в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.".
11. Приказ дополнить приложением N 20 "Типовая форма согласия субъекта персональных данных на обработку персональных данных, разрешенных для распространения в министерстве экономического развития Новосибирской области" в редакции согласно приложению N 5 к настоящему приказу.
|
Министр |
Л.Н. Решетников |
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приказ Министерства экономического развития Новосибирской области от 9 июня 2023 г. N 75 "О внесении изменений в приказ министерства экономического развития Новосибирской области от 22.11.2022 N 173 "Об организации обработки персональных данных в министерстве экономического развития Новосибирской области"
Вступает в силу с 9 июня 2023 г.
Опубликование:
официальный интернет-портал правовой информации (www.nsopravo.ru) 9 июня 2023 г.