Приложение N 1. Правила обработки персональных данных в министерстве экономического развития и инвестиций Самарской области. Приказ Министерства экономического развития и инвестиций Самарской области от 14.06.2023 N 125 "Об обработке персональных данных в министерстве экономического развития и инвестиций Самарской области и признании утратившим силу приказа министерства экономического развития, инвестиций и торговли Самарской области от 04.10.2013 N 223 "Об утверждении Положения об обработке и защите персональных данных в министерстве экономического развития, инвестиций и торговли Самарской области" (с изменениями и дополнениями)

Приложение N 1
к приказу министерства
экономического развития и инвестиций
Самарской области
от 14.06.2023 N 125

Правила
обработки персональных данных в министерстве экономического развития и инвестиций Самарской области

I. Общие положения

1.1. Правила обработки персональных данных в министерстве экономического развития и инвестиций Самарской области (далее соответственно - Правила, Министерство) определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Министерстве.

1.2. В настоящих Правилах используются основные понятия, определенные статьей 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

1.3. Настоящие Правила определяют политику Министерства как оператора, осуществляющего обработку персональных данных, а также определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.4. Настоящие Правила разработаны в соответствии с:

- Трудовым кодексом Российской Федерации;

- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

- Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации";

- Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

- Указом Президента Российской Федерации от 01.02.2005 N 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации";

- Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

- постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

1.5. Обработка персональных данных в Министерстве осуществляется с соблюдением принципов и условий, предусмотренных статьями 5 и 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

II. Субъекты персональных данных

2.1. К субъектам персональных данных, персональные данные которых обрабатываются в Министерстве в соответствии с настоящими Правилами, относятся:

1) государственные гражданские служащие Министерства;

2) граждане, претендующие на замещение должностей государственной гражданской службы Министерства;

3) граждане, подавшие документы о включении в кадровый резерв государственной гражданской службы;

4) лица, замещающие должности руководителей подведомственных Министерству учреждений и организаций;

5) граждане, претендующие на замещение должностей руководителей подведомственных Министерству учреждений и организаций;

6) лица, представляемые к награждению, наградные материалы по которым представлены в Министерство;

7) граждане, являющиеся стороной гражданско-правовых договоров с Министерством;

8) граждане, участвующие в проводимых Министерством конкурсах, мероприятиях, предполагающих обработку персональных данных участников;

9) граждане, обращающиеся в Министерство в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации").

III. Условия и порядок обработки персональных данных субъектов персональных данных в целях реализации служебных или трудовых отношений

3.1. Персональные данные субъектов персональных данных, указанных в подпунктах 1-5 пункта 2.1 настоящих Правил обрабатываются в целях обеспечения задач кадровой работы, в том числе кадрового учета, делопроизводства, содействия в осуществлении служебной (трудовой) деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности субъектов персональных данных, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.

3.2. В целях, указанных в пункте 3.1. настоящих Правил, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

3.3. Согласие на обработку персональных данных субъекта персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1. настоящих Правил, не требуется при обработке персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных".

3.4. Согласие на обработку специальных категорий персональных данных, касающихся состояния здоровья субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1. настоящих Правил, не требуется при обработке персональных данных в соответствии с пунктом 2.3 части 2 статьи 10 Федерального закона "О персональных данных" и абзацем седьмым статьи 88 Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны.

Обработка Министерством специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, не допускается.

3.5. Согласие на обработку биометрических персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1. настоящих Правил, не требуется при обработке персональных данных в соответствии с частью 2 статьи 11 Федерального закона "О персональных данных", за исключением случаев получения персональных данных работника у третьей стороны.

3.6. Согласие субъекта персональных данных на обработку его персональных данных необходимо получить в следующих случаях:

1) при распространении персональных данных;

2) при предоставлении персональных данных;

3) при трансграничной передаче персональных данных;

3.7. В случаях, предусмотренных пунктом 3.6. настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".

3.8. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1. настоящих Правил, осуществляется структурным подразделением Министерства, обеспечивающим кадровое сопровождение его деятельности (далее - кадровое подразделение Министерства).

3.9. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1. настоящих Правил, включает в себя следующие действия: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

3.10. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1. настоящих Правил, осуществляется путем:

1) получения оригиналов необходимых документов;

2) копирования (сканирования) оригиналов документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях);

4) формирования персональных данных в ходе кадровой работы.

3.11. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1. настоящих Правил.

3.12. В случае возникновения необходимости получения персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1. настоящих Правил, у третьих лиц, кадровому подразделению Министерства необходимо получить письменное согласие субъекта персональных данных и сообщить о целях, предполагаемых источниках и способах получения персональных данных.

3.13. При сборе персональных данных в целях, указанных в пункте 3.1. настоящих Правил, сотрудник кадрового подразделения Министерства обязан разъяснить субъектам персональных данных юридические последствия отказа от предоставления персональных данных.

3.14. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1. настоящих Правил, осуществляются в случаях и в порядке, предусмотренных законодательством Российской Федерации.

IV. Условия и порядок обработки персональных данных граждан, являющихся стороной гражданско-правовых договоров, граждан, представляемых к награждению, а также граждан, участвующих в проводимых Министерством конкурсах, мероприятиях, предполагающих обработку персональных данных участников

4.1. Обработка персональных данных субъектов персональных данных, указанных в подпунктах 6-8 пункта 2.1 настоящих Правил осуществляется с их письменного согласия, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных.

4.2. Обработка специальных категорий персональных данных субъектов персональных данных, указанных в подпунктах 6-8 пункта 2.1 настоящих Правил, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается.

4.3. Обработка биометрических персональных данных субъектов персональных данных, указанных в подпунктах 6-8 пункта 2.1 настоящих Правил, Министерством не осуществляется.

4.4. Сбор (получение) персональных данных субъектов персональных данных, указанных в подпунктах 6-8 пункта 2.1 настоящих Правил, осуществляется путем:

1) получения оригиналов необходимых документов;

2) копирования (сканирования) оригиналов документов;

3) предоставления копий документов.

4.5. Передача (распространение, предоставление) и использование персональных данных граждан осуществляются в случаях и в порядке, предусмотренных законодательством Российской Федерации.

V. Условия и порядок обработки персональных данных субъектов персональных данных в связи с рассмотрением обращений граждан

5.1. Обработка персональных данных субъектов персональных данных, указанных в подпункте 9 пункта 2.1 настоящих Правил осуществляется в целях обеспечения своевременного и в полном объеме рассмотрения устных и письменных обращений граждан в порядке, установленном Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".

5.2. Персональные данные граждан, обратившихся в Министерство, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим предоставлением письменного ответа по существу поставленных в обращении вопросах или уведомления.

5.3. В соответствии со статьями 7 и 13 Федерального закона "О порядке рассмотрения обращений граждан Российской Федерации" в связи с рассмотрением поступивших в Министерство обращений граждан обработке подлежат следующие персональные данные:

1) фамилия, имя, отчество (при наличии);

2) адрес для корреспонденции;

3) адрес электронной почты (при наличии);

4) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.

5.4. Обработка персональных данных, необходимых в связи с рассмотрением обращений граждан, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных" и Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".

5.5. Передача (распространение, предоставление) и использование персональных данных граждан осуществляются в случаях и в порядке, предусмотренных законодательством Российской Федерации.

VI. Порядок обработки персональных данных, осуществляемой без использования средств автоматизации

6.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

6.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

6.3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Министерством без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.

6.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Министерства, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Министерством способов обработки персональных данных;

2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

6.5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

6.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными

персональными данными.

6.7. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

6.8. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

VII. Организация и сроки хранения персональных данных

7.1. Персональные данные хранятся на бумажном носителе и (или) электронном носителях в соответствующих структурных подразделениях Министерства, к полномочиям которых относится обработка персональных данных, в соответствии с положениями об этих структурных подразделениях.

7.2. Хранение личных дел гражданских служащих Министерства, уволенных с гражданской службы, осуществляется в соответствии с пунктом 23 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30.05.2005 N 609.

7.3. Сроки хранения персональных данных в Министерстве определяются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20.12.2019 N 236.

7.4. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях персональных данных, обработка которых осуществляется в целях, определенных настоящими Правилами.

VIII. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

8.1. Уничтожение персональных данных осуществляется Министерством в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденными Приказом Роскомнадзора от 28.10.2022 N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".

8.2. Кадровым подразделением Министерства осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

8.3. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии Министерства (далее - ЭК Министерства), состав которой утверждается распоряжением Министра.

По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами ЭК Министерства с обязательным участием представителя управления государственной архивной службы Самарской области и утверждается Министром.

8.4. Министерством в порядке, установленным действующим законодательством Российской Федерации, определяется подрядная организация, имеющая необходимую производственную базу для обеспечения установленного порядка уничтожения документов. Должностное лицо Министерства, ответственное за архивную деятельность, сопровождает документы, содержащие персональные данные, до производственной базы подрядчика и присутствует при процедуре уничтожения документов (сжигание, химическое или механическое уничтожение).

8.5. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.