Приказ Министерства природных ресурсов и экологии Новосибирской области от 29.06.2023 N 810-НПА "Об утверждении политики министерства природных ресурсов и экологии Новосибирской области в отношении обработки персональных данных"

В соответствии с Федеральными законами от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных", Указом Президента Российской Федерации от 17.03.2008 N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" приказываю:

1. Утвердить прилагаемую политику министерства природных ресурсов и экологии Новосибирской области в отношении обработки персональных данных.

2. Контроль за исполнением настоящего приказа возложить на начальника управления правового, кадрового и документационного обеспечения Гаенко А.П.

Министр

Е.А. Шестернин

Утверждена
приказом
министерства природных ресурсов и
экологии Новосибирской области
от 29.06.2023 N 810-НПА

Политика
министерства природных ресурсов и экологии Новосибирской области в отношении обработки персональных данных

I. Общие положения

1. Настоящая политика министерства природных ресурсов и экологии Новосибирской области в отношении обработки персональных данных (далее - Политика) определяет права и обязанности оператора и субъекта персональных данных, цели и основные принципы обработки персональных данных, а также меры, направленные на защиту персональных данных при их обработке в министерстве природных ресурсов и экологии Новосибирской области (далее - Министерство, Оператор).

2. Политика разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - ФЗ "О персональных данных"), постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

3. Для целей Политики используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);

субъект ПДн - физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПДн;

персональные данные, разрешенные субъектом ПДн для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ "О персональных данных";

обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

автоматизированная обработка ПДн - обработка персональных данных с помощью средств вычислительной техники;

информационная система персональных данных - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

уничтожение ПДн - действия, в результате которых невозможно восстановить содержание ПДн в информационной системе персональных данных или в результате которых уничтожаются материальные носители ПДн;

предоставление ПДн - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

распространение ПДн - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

блокирование ПДн - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

обезличивание ПДн - действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту ПДн;

трансграничная передача ПДн - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. Обязанностями субъекта ПДн и Оператора являются:

1) субъект ПДн обязан:

предоставлять Оператору достоверные данные о себе;

в случае изменения своих ПДн сообщать данную информацию Оператору;

соблюдать положения, предусмотренные действующим законодательством Российской Федерации;

2) Оператор обязан:

соблюдать принципы и правила обработки ПДн;

в случае, если обработка ПДн осуществляется по поручению другого оператора, строго соблюдать и выполнять требования оператора, поручившего Министерству обработку ПДн;

не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом;

обеспечить обработку ПДн субъектов ПДн с использованием баз данных, находящихся на территории Российской Федерации;

принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн, в объеме согласно ФЗ "О персональных данных";

разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными;

сообщать в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;

опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;

при необходимости осуществления блокирования и уничтожения обрабатываемых ПДн в случаях, установленных ФЗ "О персональных данных", соблюдать правила и сроки осуществления блокирования и уничтожения обрабатываемых ПДн;

прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) при наступлении обстоятельств в соответствии с ФЗ "О персональных данных";

осуществлять иные действия и проводить иные мероприятия по обработке и защите ПДн субъектов ПДн в соответствии с законодательством Российской Федерации.

5. Правами субъекта ПДн и Оператора являются:

1) субъект ПДн имеет право:

а) на получение информации, касающейся обработки его ПДн, в том числе содержащей:

подтверждение факта обработки ПДн Оператором;

правовые основания и цели обработки ПДн;

применяемые Оператором способы обработки ПДн;

наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;

обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки ПДн, в том числе сроки их хранения;

порядок осуществления субъектом ПДн прав, предусмотренных ФЗ "О персональных данных";

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 ФЗ "О персональных данных";

иные сведения, предусмотренные ФЗ "О персональных данных" или другими федеральными законами.

Указанные сведения предоставляются субъекту ПДн или его представителю Оператором при обращении либо при получении запроса субъекта ПДн или его представителя;

б) на определение представителей для защиты своих ПДн;

в) требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

г) требовать исключить или исправить неверные или неполные ПДн, а также данные, обрабатываемые с нарушением требований ФЗ "О персональных данных";

д) требовать об извещении всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;

е) обжаловать действия или бездействие Министерства в уполномоченном органе по защите прав субъектов ПДн (в случае если субъект ПДн считает, что Министерство осуществляет обработку его ПДн с нарушением требований ФЗ "О персональных данных" или иным образом нарушает его права и свободы);

ж) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

з) отозвать данное Оператору согласие на обработку своих ПДн;

к) осуществлять иные права в соответствии с законодательством Российской Федерации;

2) Оператор имеет право:

а) обрабатывать ПДн в соответствии с действующим законодательством Российской Федерации;

б) поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо путем принятия соответствующего акта;

в) ограничить право субъекта ПДн на доступ к его ПДн/мотивированно отказать субъекту ПДн в предоставлении сведений, касающихся обработки его ПДн, в случаях, установленных законодательством Российской Федерации, в том числе при нарушении субъектом ПДн своих обязанностей по подаче такого запроса или если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;

г) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных действующим законодательством в области ПДн, если иное не предусмотрено федеральными законами;

д) осуществлять или обеспечивать блокирование или уничтожение ПДн в порядке и сроки, установленные ФЗ "О персональных данных";

е) продолжить обработку ПДн в случае отзыва субъектом ПДн согласия на обработку его ПДн, при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ "О персональных данных";

ж) осуществлять иные права в соответствии с законодательством Российской Федерации.

6. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

II. Цели обработки персональных данных

7. Обработка ПДн осуществляется на законной и справедливой основе.

8. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей.

9. Целью обработки ПДн субъектов ПДн является:

а) обеспечение доступа к информации о деятельности Оператора;

б) оформление и регулирование трудовых отношений, ведение кадрового учета (в том числе содействие работникам в обучении и должностном росте, организация профессиональной переподготовки и повышения квалификации сотрудников учреждения, а также обеспечение личной безопасности работников, условий их труда, гарантий и компенсаций, сохранности имущества, контроля количества и качества выполняемой работы);

в) ведение воинского учета, проведение мобилизационной подготовки и мобилизации;

г) обеспечение ведения бухгалтерского учета и начисления заработной платы;

д) обеспечение проведения расчетно-кассовых операций;

е) соблюдение налогового законодательства;

ж) обеспечение деятельности Оператора по предоставлению государственных услуг, исполнению государственных функций;

з) учет и автоматизация обработки обращений граждан;

и) исполнение обязательств, предусмотренных договорами гражданско-правового характера;

к) осуществление возложенных на Оператора функций, полномочий и обязанностей.

10. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

11. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

12. Обработке подлежат только ПДн, которые отвечают целям их обработки. Категории субъектов ПДн и состав обрабатываемых ПДн определены настоящей Политикой и соответствуют заявленным целям обработки.

13. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

III. Правовые основания обработки персональных данных

14. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку ПДн при осуществлении и выполнении возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей для достижения целей обработки ПДн, предусмотренных Политикой:

Трудовой кодекс Российской Федерации;

Налоговый кодекс Российской Федерации;

Гражданский кодекс Российской Федерации;

Кодекс Российской Федерации об административных правонарушениях;

Федеральный закон от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";

Федеральный закон от 31.05.1996 N 61-ФЗ "Об обороне";

Федеральный закон от 26.02.1997 N 31-ФЗ "О мобилизационной подготовке и мобилизации в Российской Федерации";

Федеральный закон от 28.03.1998 N 53-ФЗ "О воинской обязанности и военной службе";

Федеральный закон от 16.07.1999 N 165-ФЗ "Об основах обязательного социального страхования";

Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";

Федеральный закон от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации";

Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе";

Федеральный закон от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

Федеральный закон от 29.12.2006 N 255-ФЗ "Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством";

Федеральный закон от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля";

Федеральный закон от 09.02.2009 N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления";

Федеральный закон от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";

Федеральный закон от 29.12.2012 N 280-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части создания прозрачного механизма оплаты труда руководителей государственных (муниципальных) учреждений и представления руководителями этих учреждений сведений о доходах, об имуществе и обязательствах имущественного характера";

Федеральный закон от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд";

Федеральный закон от 31.07.2020 N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации";

Указ Президента Российской Федерации от 01.02.2005 N 112 "Об утверждении Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации";

Указ Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

постановление Правительства Российской Федерации от 27.11.2006 N 719 "Об утверждении Положения о воинском учете";

постановление Правительства Российской Федерации от 24.10.2011 N 861 "О федеральных государственных информационных системах, обеспечивающих предоставление в электронной форме государственных и муниципальных услуг (осуществление функций)";

постановление Правительства Российской Федерации от 10.07.2014 N 636 "Об аттестации экспертов, привлекаемых органами, уполномоченными на осуществление государственного контроля (надзора), органами муниципального контроля, к проведению мероприятий по контролю";

распоряжение Правительства Российской Федерации от 26.05.2005 N 667-р;

распоряжение Правительства Российской Федерации от 16.07.2016 N 1506-р;

распоряжение Правительства Российской Федерации от 09.02.2017 N 232-р;

Закон Новосибирской области от 27.12.2002 N 85-ОЗ "О наградах Новосибирской области";

Закон Новосибирской области от 01.02.2005 N 265-ОЗ "О государственной гражданской службе Новосибирской области";

Закон Новосибирской области от 06.04.2005 N 287-ОЗ "О Реестре должностей государственной гражданской службы Новосибирской области";

Закон Новосибирской области от 02.05.2017 N 161-ОЗ "О ведомственном контроле за соблюдением трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, в Новосибирской области";

постановление Правительства Новосибирской области от 29.01.2013 N 28-п "О Порядке представления лицом, поступающим на должность руководителя государственного учреждения Новосибирской области, руководителем государственного учреждения Новосибирской области сведений о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей";

постановление Правительства Новосибирской области от 03.10.2017 N 383-п "О министерстве природных ресурсов и экологии Новосибирской области";

постановление Губернатора Новосибирской области от 20.04.2005 N 248 "О форме служебного контракта о прохождении государственной гражданской службы Новосибирской области и замещении должности государственной гражданской службы Новосибирской области";

постановление Губернатора Новосибирской области от 03.08.2009 N 333 "О представлении гражданами, претендующими на замещение должностей государственной гражданской службы Новосибирской области, и государственными гражданскими служащими Новосибирской области сведений о доходах, об имуществе и обязательствах имущественного характера";

постановление Губернатора Новосибирской области от 25.12.2015 N 284 "Об утверждении Порядка и условий возмещения государственным гражданским служащим Новосибирской области расходов на наем (поднаем) жилого помещения";

постановление Губернатора Новосибирской области от 29.01.2019 N 16 "О Почетной грамоте Губернатора Новосибирской области и Благодарности Губернатора Новосибирской области";

постановление Губернатора Новосибирской области от 06.05.2019 N 134 "Об утверждении Инструкции о порядке организации работы с обращениями граждан";

постановление Губернатора Новосибирской области от 12.05.2020 N 76 "Об утверждении Положения о кадровом резерве на государственной гражданской службе Новосибирской области";

постановление Законодательного Собрания Новосибирской области от 26.09.2013 N 154 "О наградах Законодательного Собрания Новосибирской области";

приказ Минприроды России от 16.02.2011 N 36 "Об учреждении ведомственных знаков отличия Министерства природных ресурсов и экологии Российской Федерации";

приказ Министерства финансов Российской Федерации от 30.03.2015 N 52н "Об утверждении форм первичных учетных документов и регистров бухгалтерского учета, применяемых органами государственной власти (государственными органами), органами местного самоуправления, органами управления государственными внебюджетными фондами, государственными (муниципальными) учреждениями, и Методических указаний по их применению";

Методические рекомендации по ведению воинского учета в организациях, утвержденные Начальником Генерального штаба Вооруженных Сил Российской Федерации - первым заместителем Министра обороны Российской Федерации генералом армии В. Герасимовым 11.07.2017;

приказ Министерства труда и социальной защиты Российской Федерации от 19.05.2021 N 320н "Об утверждении формы, порядка ведения и хранения трудовых книжек";

приказ министерства природных ресурсов и экологии Новосибирской области от 13.01.2021 N 6 "О комиссии по рассмотрению документов о возмещении государственным гражданским служащим министерства природных ресурсов и экологии Новосибирской области расходов на наем (поднаем) жилого помещения";

приказ министерства природных ресурсов и экологии Новосибирской области от 22.04.2022 N 446 "О формах поощрения в министерстве природных ресурсов и экологии Новосибирской области";

договоры (контракты), заключаемые между Оператором и субъектом персональных данных или в интересах субъекта персональных данных;

согласие на обработку персональных данных субъектов персональных данных.

IV. Состав обрабатываемых персональных данных, категории субъектов персональных данных

15. В Министерстве ведется обработка персональных данных субъектов ПДн, как являющихся сотрудниками Оператора, так и не являющихся таковыми.

16. Исходя из категорий субъектов ПДн и принципов необходимости и достаточности для достижения целей обработки Оператор осуществляет обработку ПДн в объеме согласно целям обработки ПДн.

17. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) и которые используются для установления личности субъекта ПДн, Оператором не обрабатываются.

18. Обработка специальных категорий персональных данных Оператором не осуществляется.

V. Порядок и условия обработки персональных данных, особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

19. В ходе обработки ПДн Оператором возможно совершение следующих действий (операций) с персональными данными субъектов ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ, распространение), обезличивание, блокирование, удаление, уничтожение персональных данных.

20. Распространение персональных данных субъектов ПДн допускается при наличии согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, а также в иных случаях, предусмотренных законодательством Российской Федерации, в том числе в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, предоставляется субъектом ПДн непосредственно Оператору в письменной форме.

В случае, если из предоставленного субъектом ПДн согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, не следует, что субъект ПДн согласился с распространением ПДн, такие ПДн обрабатываются Оператором без права распространения.

В случае, если из предоставленного субъектом ПДн согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, не следует, что субъект ПДн не установил запреты и условия на обработку ПДн, или если в предоставленном субъектом ПДн таком согласии не указаны категории и перечень ПДн, для обработки которых субъект ПДн устанавливает условия и запреты в соответствии с ФЗ "О персональных данных", такие ПДн обрабатываются Оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с ПДн неограниченному кругу лиц.

Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.

В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц. Отказ Оператора в установлении субъектом ПДн запретов и условий не допускается.

Оператор обязуется в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.

Установленные субъектом ПДн запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) ПДн, разрешенных субъектом ПДн для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Передача (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, должна быть прекращена в любое время по требованию субъекта ПДн. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению. Указанные в данном требовании ПДн могут обрабатываться только Оператором.

Оператор обязуется прекратить передачу (распространение, предоставление, доступ) ПДн в течение трех рабочих дней с момента получения требования субъекта ПДн.

21. Обработка полученных персональных данных осуществляется Оператором как с использованием средств автоматизации, так и на бумажных носителях (без использования средств автоматизации).

VI. Порядок передачи персональных данных третьим лицам

22. Взаимодействие с третьими лицами в рамках достижения целей обработки персональных данных, если иное не предусмотрено законодательством Российской Федерации, осуществляется при следующих условиях:

наличие договора (соглашения) об информационном взаимодействии и (или) договора поручения на обработку персональных данных;

наличие согласия субъекта персональных данных на передачу его персональных данных третьим лицам.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

23. Трансграничная передача персональных данных Оператором не осуществляется.

24. Оператор и иные лица, получившие доступ к персональным данным, обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

VII. Меры, направленные на обеспечение выполнения Оператором обязанностей, предусмотренных ФЗ "О персональных данных", в том числе меры по обеспечению безопасности ПДн

25. Во исполнение требований ФЗ "О персональных данных" Оператором приняты необходимые правовые, организационные и технические меры для защиты ПДн при их обработке от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в соответствии с утвержденным Оператором комплектом организационно-распорядительной документации в области защиты ПДн при их обработке, а именно:

назначены ответственные лица за организацию обработки ПДн и исполнение обязанностей по технической защите ПДн в Министерстве;

разработаны локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

осуществляется внутренний контроль соответствия обработки персональных данных ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

ведется периодическое ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.

Оператор оценивает вред, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен ПДн в случае нарушения ФЗ "О персональных данных", соотносит указанный вред и принимаемые Оператором меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ "О персональных данных";

определены угрозы безопасности персональных данных при их обработке в информационных системах;

с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных определены уровни защищенности персональных данных при их обработке в информационных системах Министерства;

применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;

проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

ведется учет машинных носителей персональных данных и принимаются меры по обеспечению сохранности носителей персональных данных;

приняты меры, направленные на обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;

приняты меры, позволяющие осуществлять восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установлены правила доступа к персональным данным, обрабатываемым в Министерстве;

осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ПДн при их обработке в информационных системах Министерства;

организован режим обеспечения безопасности помещений, в которых осуществляется обработка ПДн, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

Указанная в настоящем пункте информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных.

Порядок передачи информации устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.

VIII. Условия прекращения обработки персональных данных

26. Условием прекращения обработки персональных данных является:

1) достижение целей обработки персональных данных;

2) отзыв согласия субъекта персональных данных (или его представителей) на обработку его персональных данных;

3) выявление неправомерной обработки персональных данных;

4) истечение установленного срока хранения ПДн;

5) ликвидация Оператора;

6) прекращение осуществления деятельности Оператора.

IX. Организация хранения персональных данных

27. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации и/или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

28. Для организации хранения персональных данных в случае автоматизированной обработки Оператор в соответствии ФЗ "О персональных данных" использует технические устройства хранения данных, находящиеся на территории Российской Федерации.

X. Обработка персональных данных без использования средств автоматизации

29. Обработка персональных данных без использования средств автоматизации организована в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", а именно:

определены места хранения персональных данных (материальных носителей) и установлены перечни лиц, осуществляющих обработку персональных данных без использования средств автоматизации либо имеющих к ним доступ;

обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

приняты меры, направленные на обеспечение сохранности персональных данных, обработка которых осуществляется без использования средств автоматизации, и исключающие несанкционированный к ним доступ, обеспечен контроль за их соблюдением.

XI. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

30. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом, уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ "О персональных данных" или другими федеральными законами.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных ФЗ "О персональных данных" или другими федеральными законами.

В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 ФЗ "О персональных данных". Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного настоящим пунктом, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.

XII. Уничтожение персональных данных

31. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также в случае отзыва согласия субъекта персональных данных на обработку его персональных данных или в случае выявления неправомерной обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, или иным соглашением между Оператором и субъектом ПДн.

XIII. Порядок рассмотрения запросов субъектов персональных данных

32. Оператор обязуется сообщать в порядке, предусмотренном ФЗ "О персональных данных", субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо при получении запроса субъекта персональных данных или его представителя.

Утвержденные Оператором правила рассмотрения запросов субъектов персональных данных или их представителей по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений предоставляются по запросу не позднее семи рабочих дней со дня получения запроса и (или) обращения.

XIV. Порядок ознакомления с политикой Оператора в отношении обработки персональных данных

33. В соответствии с требованиями ФЗ "О персональных данных" Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

34. Оператор оставляет за собой право в любой момент изменить положения настоящей Политики и обязуется опубликовать обновленную Политику и предоставить к ней доступ для ознакомления путем размещения в информационно-телекоммуникационной сети "Интернет" на официальном сайте Министерства по адресу: https://mpr.nso.ru/.