Приложение. Приказ Службы по экологическому и технологическому надзору Республики Крым от 27.06.2023 N 87-п "О внесении изменений в приказ Службы по экологическому и технологическому надзору Республики Крым от 25 ноября 2022 года N 181-п "Об утверждении Политики обработки персональных данных в Службе по экологическому и технологическому надзору Республики Крым"

Приложение
к приказу Службы по экологическому и
технологическому надзору Республики
Крым от 27.06.2023 г. N 87-п

Политика обработки персональных данных в Службе по экологическому и технологическому надзору Республики Крым

1. Общие положения

1.1. Политика обработки персональных данных в Службе по экологическому и технологическому надзору Республики Крым (далее - Политика) определяет цели и общие принципы обработки персональных данных, а также меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Службе по экологическому и технологическому надзору Республики Крым (далее - Крымтехнадзор).

1.2. Основные понятия, используемые в Политике:

1) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

2) безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

3) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

4) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

5) конфиденциальность персональных данных - обязательное для соблюдения Министерством или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

6) несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;

7) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

8) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

9) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

10) персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

11) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

12) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

13) технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;

14) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

15) угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

16) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

17) политика - правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.3. Политика разработана в соответствии с:

1) Конституций Российской Федерации;

2) Трудовым Кодексом Российской Федерации;

3) Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

4) Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

5) Постановлением Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

6) Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

7) Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

8) Совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных";

9) Приказом ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

10) Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

11) Приказом Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации Федеральных целевых программ");

12) Приказом Роскомнадзора от 24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения";

13) Приказом Роскомнадзора от 28.10.2022 N 179 Об утверждении Требований к подтверждению уничтожения персональных данных".

1.4. Политика определяет правила Крымтехнадзора как оператора, осуществляющего обработку персональных данных и определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2. Правовые основания обработки персональных данных

2.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2.2. Крымтехнадзор осуществляет обработку персональных данных на основании:

1) Конституции Российской Федерации;

2) Трудового Кодекса Российской Федерации;

3) Гражданского Кодекса Российской Федерации;

4) Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации";

5) Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

6) Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

7) Федерального закона от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";

8) Федерального закона от 2.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

9) Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

10) Федерального закона от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";

11) Федерального закона от 28.03.1998 N 53-ФЗ "О воинской обязанности и военной службе";

12) иных нормативных правовых актов Российской Федерации и Республики Крым;

13) согласия на обработку персональных данных;

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

12) организационно-распорядительных документов, определяющих политику Крымтехнадзора в отношении обработки персональных данных, локальных актов по вопросам обработки и защиты персональных данных.

2.3. Крымтехнадзор устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

1) издание нормативных правовых актов, локальных актов Крымтехнадзора по вопросам обработки персональных данных;

2) назначение ответственных за организацию обработки персональных данных;

3) определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Крымтехнадзоре и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;

4) ознакомление государственных гражданских служащих Крымтехнадзора, непосредственно осуществляющих обработку персональных данных под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Крымтехнадзора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, обеспечение обучения указанных государственных гражданских служащих Крымтехнадзора в соответствии с утвержденным в Крымтехнадзоре графиком повышения квалификации;

5) получение персональных данных лично у субъекта персональных данных, в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны Крымтехнадзор извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных;

6) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

7) опубликование на официальном сайте Крымтехнадзора в информационно-телекоммуникационной сети "Интернет" документов, определяющих политику Крымтехнадзора в отношении обработки персональных данных, реализуемые требования к защите персональных данных;

8) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Крымтехнадзора в отношении обработки персональных данных, локальным актам Крымтехнадзора.

3. Цели обработки и содержание обрабатываемых персональных данных

3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

3.2. Крымтехнадзор обрабатывает персональные данные в целях ведения своей деятельности согласно законодательству Российской Федерации, Республики Крым и Положения Крымтехнадзора.

3.3. Обработке подлежат только те персональные данные, которые отвечают целям их обработки и не должны быть избыточными по отношению к заявленным целям.

3.4. Крымтехнадзор осуществляет на законной и справедливой основе обработку персональных данных следующих субъектов персональных данных:

1) государственных гражданских служащих Крымтехнадзора;

2) сотрудников Крымтехнадзора должности, которых не являются должностями государственной службы;

3) государственных гражданских служащих;

4) уволенных (уволившихся) сотрудников Крымтехнадзора должности, которых не являются должностями государственной службы;

5) лиц, включенных в кадровый резерв Крымтехнадзора;

6) соискателей на замещение вакантных должностей в Крымтехнадзоре;

7) граждан и организаций, обратившиеся в Крымтехнадзор с связи с предоставлением государственных услуг и исполнением государственных функций;

8) родственников сотрудников Крымтехнадзора, являющихся государственными гражданскими служащими;

9) родственников сотрудников Крымтехнадзора, должности, которых не являются должностями государственной службы;

10) родственников соискателей на замещение вакантной должности и лиц, включенных в кадровый резерв;

11) физических лиц и представителей юридических лиц (и иных операторов персональных данных), участвующие в семинарах, конференциях, общественном совете, и т.п.;

12) представителей юридических и государственных лиц, обратившихся в Крымтехнадзор с обращением;

13) физических лиц, персональные данные которых получены в ходе контрольно-надзорной деятельности Крымтехнадзора;

14) физических лиц, в отношении которых рассматриваются дела об административных правонарушениях;

15) физических лиц, обратившиеся в Крымтехнадзор с обращением (в том числе за оказанием государственных услуг).

3.5. Персональные данные субъектов персональных данных, указанных в пункте 3.4. Политики, обрабатываются в целях:

1) обеспечения соблюдения законодательных и иных нормативных правовых актов Российской Федерации, Республики Крым, локальных нормативных актов Крымтехнадзора;

2) исполнения обязанностей, возложенных законодательством Российской Федерации, Республики Крым на Крымтехнадзор, в том числе связанных с представлением персональных данных в налоговые органы, Пенсионный фонд Российской Федерации по Республике Крым, Фонд социального страхования Российской Федерации по Республике Крым, Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

3) регулирования трудовых отношений с работниками Крымтехнадзора (трудоустройство, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);

4) предоставления работникам Крымтехнадзора и членам их семей дополнительных гарантий и компенсаций, в том числе добровольного медицинского страхования, негосударственного пенсионного обеспечения и других видов социального обеспечения;

5) подготовки, заключения, исполнения и прекращения договоров с контрагентами;

6) исполнения судебных актов, актов других государственных органов или должностных лиц;

7) реализации прав и законных интересов Крымтехнадзора в рамках ведения видов деятельности, предусмотренных Положением и иными локальными нормативными актами Крымтехнадзора, или третьих лиц либо достижения общественно значимых целей;

8) в иных законных целях.

3.6. Цели обработки персональных данных в Крымтехнадзоре:

1) обеспечения кадровой работы, в том числе содействия в прохождении гражданской службы;

2) содействия в выполнении осуществляемой работы;

3) формирования кадрового резерва гражданской службы;

4) ведение налогового учета;

5) ведение воинского учета;

6) представление отчетности в государственные органы;

7) обеспечения личной безопасности гражданских служащих Крымтехнадзора и членов их семей;

8) учета результатов исполнения гражданскими служащими Крымтехнадзора должностных обязанностей;

9) обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции;

10) исполнения государственных услуг (функций).

3.7. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.8. В Крымтехнадзоре обрабатываются следующие категории персональных данных:

1) фамилия, имя, отчество;

2) паспортные данные;

3) дата и место рождения;

4) адрес проживания;

5) информация о гражданстве;

6) номер контактного телефона;

7) семейное положение;

8) состав семьи;

9) реквизиты страхового свидетельства государственного пенсионного страхования;

10) идентификационный номер налогоплательщика;

11) реквизиты страхового медицинского полиса обязательного медицинского страхования;

12) сведения о трудовой деятельности;

13) отношение к воинской обязанности, сведения по воинскому учету;

14) сведения об образовании;

15) сведения об ученой степени, ученом звании;

16) сведения о заработной плате (номера расчетного счета и банковской карты, данные договоров, размер денежного содержания);

17) сведения о социальных льготах и о социальном статусе;

18) сведения, подаваемые в налоговую инспекцию, пенсионный фонд, фонд социального страхования и другие учреждения;

19) сведения, содержащиеся в регистрах бухгалтерского учета и внутренней бухгалтерской отчетности;

20) фотография;

21) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3.4. Политики.

4. Порядок и условия обработки персональных данных

4.1. Обработка персональных данных осуществляется Крымтехнадзором в соответствии с требованиями законодательства Российской Федерации, Республики Крым, нормативными правовыми актами Крымтехнадзора.

4.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку персональных данных в письменной форме, а также без такового в случаях, предусмотренных законодательством Российской Федерации, Республики Крым. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес Крымтехнадзора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Крымтехнадзора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Крымтехнадзором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

4.3. Обработка персональных данных в Крымтехнадзоре осуществляется для каждой цели с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в Крымтехнадзоре.

4.4. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, Республики Крым.

4.5. Передача персональных данных Крымтехнадзором органам дознания и следствия, иным уполномоченным органам осуществляется в соответствии с требованиями Российской Федерации, Республики Крым.

4.6. Обработка персональных данных, необходимых в связи исполнением государственных услуг (функций) осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", Федеральным законом от 2.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, определяющими исполнение государственных услуг (функций) в установленной сфере деятельности Крымтехнадзора.

4.7. Трансграничная передача персональных данных Крымтехнадзором не осуществляется.

4.8. При обработке персональных данных осуществляемой без использования средств автоматизации Крымтехнадзор выполняет требования, установленные постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

5. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

5.1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Крымтехнадзор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

5.2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления Крымтехнадзору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

5.3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

5.4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются Крымтехнадзором, которому они предоставлены субъектом персональных данных, без права распространения.

5.5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные п. 7.9, настоящих Правил, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с п. 7.9, настоящих Правил, такие персональные данные обрабатываются Крымтехнадзором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

5.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено Крымтехнадзору:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

5.7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с Крымтехнадзором, определяются уполномоченным органом по защите прав субъектов персональных данных.

5.8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

5.9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Крымтехнадзором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Крымтехнадзора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

5.10. Крымтехнадзор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

5.11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

5.12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Крымтехнадзором, которому оно направлено.

5.13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления Крымтехнадзору требования, указанного в п. 7.12. настоящих Правил.

5.14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящих Правил обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

5.15. Требования настоящей главы не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

6. Сроки обработки и хранения персональных данных

6.1. Срок обработки персональных данных определяется достижением цели, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством Российской Федерации, Республики Крым, нормативными правовыми актами Крымтехнадзора.

6.2. Сроки обработки и хранения персональных данные, обрабатываемые в целях основной деятельности, - в течение срока действия гражданско-правового договора и срока исковой давности после его завершения, если иное не предусмотрено законодательством.

6.3. Сроки обработки и хранения персональных данных, обрабатываемые в связи с трудовыми отношениями, - в течение действия трудового договора и 50 лет (75 лет - если оформлены до 2003 года) после завершения действия трудового договора, если иное не предусмотрено законодательством.

6.4. Сроки обработки и хранения персональных данных кандидатов на вакантные должности, в том числе и тех, кто не был оформлен на работу, - 3 года с момента вынесения отрицательного решения, если иное не предусмотрено законодательством.

6.5. Сроки обработки и хранения персональных данных граждан, обратившихся в Крымтехнадзор лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, - 5 лет с момента ответа на обращение, если иное не предусмотрено законодательством.

6.6. Сроки обработки и хранения персональных данных, предоставляемые в Крымтехнадзор в связи с получением государственных услуг (функций), полномочий и обязанностей, возложенных на Крымтехнадзор, определяются нормативными правовыми актами, регламентирующими контрольно-надзорную деятельность Крымтехнадзора.

6.7. Обработка персональных данных прекращается по истечении срока, предусмотренного действующим законодательством Российской Федерации, нормативным актам и локальным актам Крымтехнадзора, договором или согласием субъекта персональных данных на обработку его персональных данных. При отзыве субъектом персональных данных согласия на обработку его персональных данных такая обработка осуществляется только в пределах, необходимых для исполнения заключительных с ним договоров и в целях, предусмотренных законодательством Российской Федерации, Республики Крым.

6.8. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.9. Хранение персональных данных, обработка которых осуществляется в целях, определенных настоящей Политикой, обеспечивается раздельно на разных материальных носителях.

6.10. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей).

6.11. Срок хранения персональных данных, содержащихся в автоматизированных информационных системах Крымтехнадзора, должен соответствовать сроку хранения персональных данных на бумажных носителях.

6.12. Условием прекращения обработки Крымтехнадзором персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных или отзыв согласия субъекта персональных данных, а также выявление неправомерной обработки персональных данных.

6.13. Контроль за хранением и использованием материальных носителей персональных данных, несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители соответствующих структурных подразделений Крымтехнадзора.

7. Актуализация, исправление, удаление и уничтожение персональных данных

7.1. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Крымтехнадзор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Крымтехнадзора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

7.2. В случае подтверждения факта неточности персональных данных Крымтехнадзор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Крымтехнадзора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

7.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Крымтехнадзором или лицом, действующим по поручению Крымтехнадзора, Крымтехнадзор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Крымтехнадзора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Крымтехнадзор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Крымтехнадзор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7.4. В случае достижения цели обработки персональных данных Крымтехнадзор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Крымтехнадзора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Крымтехнадзора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Крымтехнадзором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.

7.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Крымтехнадзор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Крымтехнадзора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Крымтехнадзора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого является субъект персональных данных, либо если Крымтехнадзор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральными законами.

7.6. Уничтожение персональных данных по окончании срока обработки персональных данных осуществляет комиссия, утвержденная приказом Крымтехнадзора в состав, которой входит руководитель и работники структурного подразделения Крымтехнадзора, обрабатывавшего персональные данные субъекта и установившего необходимость уничтожения персональных данных под контролем руководителя этого структурного подразделения.

7.7. Уничтожение персональных данных, которые хранятся на бумажных носителях осуществляется путем измельчения с помощью шредера. Измельчить документы необходимо без возможности восстановления.

7.8. Уничтожение персональных данных, которые хранятся в информационной системе или на машиночитаемых носителях, осуществляется методом затирания информации или физического повреждения носителя. Если диск не уничтожается физически, на место удаленной информация должна быть записана новая, чтобы исключить возможность восстановления данных. Либо диск может быть отформатирован.

7.9. В случае если обработка персональных данных осуществляется Крымтехнадзором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.

7.10. В случае если обработка персональных данных осуществляется Крымтехнадзором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, содержащимся в пунктах 7.11. и 7.12. главы 7 Политики, и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).

7.11. Акт об уничтожении персональных данных должен содержать:

а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес Крымтехнадзора;

б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению Крымтехнадзора (если обработка была поручена такому (таким) лицу (лицам);

в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;

д) перечень категорий, уничтоженных персональных данных субъекта (субъектов) персональных данных;

е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);

ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);

з) способ уничтожения персональных данных;

и) причину уничтожения персональных данных;

к) дату уничтожения персональных данных субъекта (субъектов) персональных данных.

7.12. Акт об уничтожении персональных данных в электронной форме, подписанный в соответствии с законодательством Российской Федерации, признается электронным документом, равнозначным акту об уничтожении персональных данных на бумажном носителе, подписанному собственноручной подписью лиц, указанных в подпункте "г" пункта 7.12. главы 7 Политики.

7.13. Выгрузка из журнала должна содержать:

а) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

б) перечень категорий, уничтоженных персональных данных субъекта (субъектов) персональных данных;

в) наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;

г) причину уничтожения персональных данных;

д) дату уничтожения персональных данных субъекта (субъектов) персональных данных.

7.14. В случае если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные пунктом 7.13. главы 7 Политики, недостающие сведения вносятся в акт об уничтожении персональных данных.

7.15. В случае если обработка персональных данных осуществляется Крымтехнадзором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных, соответствующий требованиям, установленным пунктами 7.11. и 7.12. главы 7 Политики, и выгрузка из журнала, соответствующая требованиям, установленным пунктом 7.13. главы 7 Политики.

7.16. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

7.17. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 7.3. - 7.5. главы 7 Политики, Крымтехнадзор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Крымтехнадзора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

8. Обязанности уполномоченных лиц на обработку персональных данных

8.1. Уполномоченные лица на получение, обработку, хранение, передачу и любое другое использование персональных данных обязаны:

1) знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил;

2) хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

3) соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

4) обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.

8.2. При обработке персональных данных уполномоченным лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных запрещается:

1) использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

2) передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации;

3) снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные;

4) выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.

8.3 Уполномоченные лица Крымтехнадзора, осуществляющие обработку персональных данных, осуществляют такую обработку как с использованием средств автоматизации, так и без использования средств автоматизации.

8.4. Обработка персональных данных, персональных данных разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренные настоящей Политикой.

9. Права и обязанности субъекта персональных данных

9.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Крымтехнадзором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые Крымтехнадзором способы обработки персональных данных;

4) наименование и место нахождения Крымтехнадзора, сведения о лицах (за исключением работников Крымтехнадзора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Крымтехнадзором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Крымтехнадзора, если обработка поручена или будет поручена такому лицу;

10) информацию о способах исполнения Крымтехнадзором обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

11) иные сведения, предусмотренные настоящим Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.

9.2. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона Российской Федерации от 27 июля 2006 N 152-ФЗ "О персональных данных".

9.3. Субъект персональных данных вправе требовать от Крымтехнадзора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.4. Сведения, указанные в пункте 9.1 главы 9 Политики, должны быть предоставлены субъекту персональных данных Крымтехнадзором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

9.5. Сведения, указанные в пункте 9.1 главы 9 Политики, предоставляются субъекту персональных данных или его представителю Крымтехнадзором в течение десяти рабочих дней с момента обращения либо получения Крымтехнадзором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Крымтехнадзором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

9.6. Если субъект персональных данных считает, что Крымтехнадзор осуществляет обработку его персональных данных с нарушением требований Федерального закона Российской Федерации от 27 июля 2006 N 152-ФЗ "О персональных данных", или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Крымтехнадзора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

9.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9.8. Субъект персональных данных обязан:

1) передавать Крымтехнадзору комплекс достоверных, документированных персональных данных, состав которых установлен законодательством;

2) своевременно сообщать уполномоченным Крымтехнадзора лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных об изменении своих персональных данных.

9.9. В целях защиты частной жизни, личной и семейной тайны субъекты персональных данных не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

9.10. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных, направив в Крымтехнадзор уведомление в свободной форме по средствам:

1) почтовым отправление с уведомлением;

2) электронной почты;

3) лично в канцелярию Крымтехнадзора.

10. Права и обязанности Крымтехнадзора

10.1. При сборе персональных данных Крымтехнадзор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную пунктом 9.1 главы 9 Политики.

10.2. Если предоставление персональных данных и (или) получение Крымтехнадзором согласия на обработку персональных данных являются обязательными, Крымтехнадзор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.

10.3. Крымтехнадзор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей по защите персональных данных и самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:

1) назначение Крымтехнадзором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание Крымтехнадзором документов, определяющих политику Крымтехнадзора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на Крымтехнадзора не предусмотренные законодательством Российской Федерации полномочия и обязанности;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Крымтехнадзора в отношении обработки персональных данных, локальным актам Крымтехнадзора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", соотношение указанного вреда и принимаемых Крымтехнадзором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

6) ознакомление работников Крымтехнадзора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Крымтехнадзора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

10.4. Крымтехнадзор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

10.5. Крымтехнадзор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

10.6. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

10.7. Крымтехнадзор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.