Приказ Министерства образования Новосибирской области от 12.07.2023 N 1475 "О внесении изменений в приказ министерства образования Новосибирской области от 03.12.2021 N 2733"

Приказываю:

Внести в приказ министерства образования Новосибирской области от 03.12.2021 N 2733 "Об организации работы по защите информации конфиденциального характера, в том числе персональных данных в министерстве образования Новосибирской области" следующие изменения:

в положении об обработке персональных данных и проведении работ по обеспечению безопасности персональных данных при их обработке в министерстве образования Новосибирской области:

1. Абзац шестой пункта 10 изложить в следующей редакции:

"обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных".

2. Пункт 27:

1) дополнить абзацем одиннадцатым следующего содержания:

"информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";";

2) дополнить абзацем двенадцатым следующего содержания:

"Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.".

3. Абзац первый пункта 29 изложить в следующей редакции:

"29. Если персональные данные получены не от субъекта персональных данных, министерство до начала обработки таких персональных данных предоставляет субъекту персональных данных:

информацию о способе получения персональных данных;

наименование либо фамилия, имя, отчество (при наличии) и адрес оператора или его представителя;

цель обработки персональных данных и ее правовое обоснование;

перечень персональных данных, предполагаемых пользователей персональных данных;

права субъекта персональных данных, установленные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".".

4. В пункте 37:

1) в подпункте 1 слова "Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным." заменить словами "Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.";

2) дополнить подпунктом 7 следующего содержания:

"7) Если в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" предоставление персональных данных и (или) получение министерством согласия на обработку персональных данных являются обязательными, министерство обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.".

5. В пункте 40:

1) подпункт 4 дополнить абзацами следующего содержания:

"В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, министерство обязано с момента выявления такого инцидента министерством, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном министерством на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).";

2) подпункт 6 дополнить абзацем следующего содержания:

"В случае обращения субъекта персональных данных в министерство с требованием о прекращении обработки персональных данных министерство обязано в срок, не превышающий десяти рабочих дней с даты получения министерством соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления министерством в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.";

3) дополнить подпунктом 8 следующего содержания:

"8) Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящим пунктом, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.".

6. В пункте 46:

1) абзац третий изложить в редакции:

"издание министерством, являющимся юридическим лицом, документов, определяющих политику министерства в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на министерство не предусмотренные законодательством Российской Федерации полномочия и обязанности;";

2) абзац шестой после слов "оценка вреда" дополнить словами "в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных,".

7. Пункт 49 дополнить абзацами следующего содержания:

"министерство обязано в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;

указанная в данном пункте информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных;

порядок передачи информации в соответствии предыдущим абзацем устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.".

8. Пункт 53 дополнить абзацами следующего содержания:

"Лицо (сторонняя организация), осуществляющие обработку персональных данных по поручению министерства, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных". В поручении министерства прописывается перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом (сторонней организацией), осуществляющим обработку персональных данных, цели их обработки, устанавливается обязанность такого лица (сторонней организации) соблюдать конфиденциальность персональных данных, требования, обязанность по запросу министерства в течение срока действия поручения министерства, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения министерства требований, установленных в соответствии с пунктом 53 настоящего Положения, обязанность обеспечивать безопасность персональных данных при их обработке, указываются требования к защите обрабатываемых персональных данных, в том числе требование об уведомлении министерства о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Лицо, осуществляющее обработку персональных данных по поручению министерства, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

В случае, если министерство поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет министерство. Лицо, осуществляющее обработку персональных данных по поручению министерства, несет ответственность перед министерством.

В случае, если министерство поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет министерство и лицо, осуществляющее обработку персональных данных по поручению министерства.".

9. Пункт 55 дополнить абзацем следующего содержания:

"Нормативные правовые акты, принимаемые министерством, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания. Срок указанного согласования не может превышать тридцать дней с даты поступления соответствующего нормативного правового акта в уполномоченный орган по защите прав субъектов персональных данных.".

10. Пункт 91 дополнить абзацем следующего содержания:

"Оператор предоставляет сведения, указанные в части 7 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.";

11. В пункте 92:

1) слово "тридцати" заменить словом "десяти";

2) дополнить абзацем следующего содержания:

"Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления министерством в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.".

11. В пункте 94:

1) слово "тридцати" заменить словом "десяти";

2) дополнить абзацем следующего содержания:

"Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления министерством в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.".

12. В пункте 98:

1) слово "тридцати" заменить словом "десяти";

2) дополнить абзацем следующего содержания:

"Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.".

Министр

С.В. Федорчук