Приложение 1. Правила обработки персональных данных в комитете по молодежной политике Ленинградской области. Приказ Комитета по молодежной политике Ленинградской области от 24.10.2023 N О-14/2023 "Об утверждении организационно-распорядительных документов комитета по молодежной политике Ленинградской области как оператора персональных данных"

Приложение 1
к приказу комитета
по молодежной политике
Ленинградской области
от 24 октября 2023 года N О-14/2023

Правила
обработки персональных данных в комитете по молодежной политике Ленинградской области

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

8. Мерами, направленными на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных в комитете по молодежной политике Ленинградской области (далее - Комитет), являются:

1) назначение ответственных за организацию обработки персональных данных в Комитете;

2) издание документов, определяющих политику в отношении обработки персональных данных, правовых актов Комитета по вопросам обработки персональных данных;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 года N 152-ФЗ "О персональных данных";

4) осуществление внутреннего контроля и(или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 года N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Комитета в отношении обработки персональных данных, правовым актам Комитета;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 года N 152-ФЗ "О персональных данных", соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 года N "О персональных данных";

6) выполнение мероприятий по удалению или уточнению неполных или неточных данных;

7) ознакомление работников Комитета, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Комитета в отношении обработки персональных данных, правовыми актами Комитета по вопросам обработки персональных данных и(или) обучение указанных работников.

9. Обеспечение безопасности персональных данных в Комитете достигается:

1) определением угроз безопасности персональных данных;

2) применением организационных и(или) технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных, а также при обработке персональных данных без использования средств автоматизации;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных, а также правил доступа к персональным данным при их обработке без использования средств автоматизации;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также безопасности персональных данных, обрабатываемых без использования средств автоматизации.

10. Цели обработки персональных данных в Комитете определяются с учетом полномочий и функций Комитета.

Обработка персональных данных в соответствии с указанными целями осуществляется в отношении субъектов персональных данных, являющихся сотрудниками Комитета, и(или) субъектов персональных данных, не являющихся сотрудниками Комитета.

11. В соответствии с Федеральным законом от 27.07.2006 года N 152-ФЗ "О персональных данных" согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Комитетом. В случаях, предусмотренных Федеральным законом от 27.07.2006 года N 152-ФЗ "О персональных данных", обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

12. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по их запросу, либо по запросу уполномоченного органа по защите прав субъектов персональных данных Комитетом осуществляется блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивается их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя, либо по их запросу, либо по запросу уполномоченного органа по защите прав субъектов персональных данных Комитетом осуществляется блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивается их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

13. В случае подтверждения факта неточности персональных данных Комитет на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

14. В случае выявления неправомерной обработки персональных данных, осуществляемой Комитетом или лицом, действующим по поручению Комитета, Комитет в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Комитета. В случае если обеспечить правомерность обработки персональных данных невозможно, Комитет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Комитет обязан уведомить субъекта персональных данных или его представителя, а в случае если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

15. В случае достижения цели обработки персональных данных Комитет обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) в срок, не превышающий тридцати календарных дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом и субъектом персональных данных, либо если Комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 года N 152-ФЗ "О персональных данных" или другими федеральными законами.

16. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Комитет обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом и субъектом персональных данных, либо если Комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 года N 152-ФЗ "О персональных данных" или другими федеральными законами.

17. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 14 - 16 настоящих Правил, Комитет осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета), а также обеспечивает их уничтожение в срок не более шести месяцев, если иной срок не установлен федеральными законами.