Приложение N 1. Правила обработки персональных данных в Главном управлении специальных программ Президента Российской Федерации. Приказ Главного управления специальных программ Президента РФ от 22.09.2023 N 140 "Об организации работы с персональными данными в Главном управлении специальных программ Президента Российской Федерации"

Приложение N 1
к приказу Главного управления
специальных программ Президента
Российской Федерации
от 22 сентября 2023 г. N 140

Правила
обработки персональных данных в Главном управлении специальных программ Президента Российской Федерации

I. Общие положения

1. Правила обработки персональных данных в Главном управлении специальных программ Президента Российской Федерации (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также определяют цели обработки персональных данных и содержание обрабатываемых персональных данных для каждой цели, категории субъектов, персональные данные которых обрабатываются в ГУСПе, сроки обработки и хранения персональных данных, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований.

2. Правила определяют политику ГУСПа как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

3. Обработка персональных данных в ГУСПе осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также Правилами.

4. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в области персональных данных, в ГУСПе проводятся следующие процедуры:

1) осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных ¹;

2) организация и проведение периодических проверок условий обработки персональных данных, определение по результатам указанных проверок мер, необходимых для устранения выявленных нарушений ²;

3) определение вреда, который может быть причинен субъектам персональных данных;

4) ограничение обработки персональных данных достижением конкретных целей, определенных Правилами;

5) установление и устранение избыточности состава, содержания, объема обрабатываемых персональных данных заявленным целям обработки;

6) обеспечение недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

7) обеспечение при обработке персональных данных точности персональных данных, их достаточности и актуальности по отношению к целям обработки персональных данных;

8) уничтожение или обезличивание обрабатываемых персональных данных при достижении целей обработки или в случае утраты необходимости в достижении целей обработки, если иное не предусмотрено Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"),

II. Обработка персональных данных

5. Обработка персональных данных в ГУСПе выполняется с использованием средств автоматизации и без использования таких средств.

6. Субъектами персональных данных в ГУСПе являются:

1) военнослужащие, федеральные государственные гражданские служащие и работники ГУСПа (воинских частей, учреждений, находящихся в ведении ГУСПа) (далее - воинские части и работники ГУСПа соответственно), руководители организаций, созданных для выполнения задач, поставленных перед ГУСПом (далее - организации ГУСПа);

2) граждане, поступающие на военную службу, федеральную государственную гражданскую службу, работу в ГУСП, а также кандидаты на должность руководителя организации ГУСПа (далее - кандидаты);

3) работники организаций ГУСПа, замещающие должности, осуществление полномочий по которым влечет за собой обязанность представлять сведения о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей (далее - должности в организациях ГУСПа);

4) граждане, претендующие на замещение должностей в организациях ГУСПа;

5) члены семей лиц, указанных в подпунктах 1 - 4 настоящего пункта, а именно супруга (супруг) в том числе бывшая (бывший), родители (мать, отец, усыновители), дети (в том числе усыновленные), родители (усыновители) супруги (супруга), родные братья (сестры), а также супруги братьев и сестер, братья и сестры супругов ³;

6) граждане, уволенные из ГУСПа, члены их семей, а также иные лица, предоставление социальных гарантий которым возложено на ГУСП ⁴;

7) лица, посещающие закрытые военные городки и иные объекты, находящиеся в ведении ГУСПа;

8) граждане, обратившиеся в ГУСП в соответствии с Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".

7. Обработка персональных данных организуется в целях:

выполнения задач кадровой работы, в том числе кадрового учета, делопроизводства, обеспечения условий служебной (трудовой) деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, предоставления гарантий и компенсаций;

противодействия коррупции;

соблюдения мер по обеспечению собственной безопасности ГУСПа;

соблюдения пропускного режима в ГУСПе;

обеспечения своевременного и в полном объеме рассмотрения обращений граждан Российской Федерации в порядке, установленном Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".

8. В целях выполнения задач кадровой работы, в том числе кадрового учета, делопроизводства, обеспечения условий служебной (трудовой) деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, предоставления гарантий и компенсаций, а также в целях противодействия коррупции в ГУСПе осуществляется обработка персональных данных субъектов персональных данных, указанных в подпунктах 1 - 6, 8 пункта 6 Правил.

В этом случае осуществляется обработка персональных данных, указанных в пунктах 1 - 46, 55 Перечня персональных данных, обрабатываемых в Главном управлении специальных программ Президента Российской Федерации в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных функций, содержащегося в приложении N 6 к настоящему приказу (далее - перечень персональных данных).

9. В целях соблюдения мер по обеспечению собственной безопасности ГУСПа в ГУСПе осуществляется обработка персональных данных субъектов персональных данных, указанных в подпунктах 1, 2, 5 пункта 6 Правил.

В этом случае осуществляется обработка персональных данных, указанных в пунктах 1 - 6, 11, 26, 28 - 31, 42 - 55 перечня персональных данных.

10. В целях соблюдения пропускного режима в ГУСПе осуществляется обработка персональных данных субъектов персональных данных, указанных в подпункте 7 пункта 6 Правил.

В этом случае осуществляется обработка персональных данных, указанных в пунктах 1, 3, 6 перечня персональных данных.

11. В целях обеспечения своевременного и в полном объеме рассмотрения обращений граждан Российской Федерации в порядке, установленном Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", в ГУСПе осуществляется обработка персональных данных субъектов персональных данных, указанных в подпункте 8 пункта 6 Правил.

В этом случае осуществляется обработка персональных данных, указанных в пунктах 1, 7, 55 перечня персональных данных.

12. Обработка персональных данных осуществляется при наличии согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, указанных в пунктах 2 - 9 ¹ и 11 части 1 статьи 6, пунктах 2 - 10 части 2 статьи 10 и части 2 статьи 11 Федерального закона "О персональных данных".

Согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных". Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи".

13. Получение согласия в письменной форме субъекта персональных данных на обработку персональных данных осуществляется должностными лицами, указанными в Перечне должностей военнослужащих, федеральных государственных гражданских служащих и работников Главного управления специальных программ Президента Российской Федерации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, содержащемся в приложении N 8 к настоящему приказу (далее - должностные лица), посредством предоставления субъектам персональных данных для ознакомления и подписания Типовой формы согласия на обработку персональных данных военнослужащих, федеральных государственных гражданских служащих, работников Главного управления специальных программ Президента Российской Федерации, иных субъектов персональных данных, содержащейся в приложении N 11 к настоящему приказу (далее - форма согласия).

14. Согласие на обработку персональных данных подписывается субъектом персональных данных в день рассмотрения и подписания им контракта о прохождении военной службы (служебного контракта, трудового договора) или в день предоставления субъектом персональных данных должностным лицам формы согласия для рассмотрения и подписания.

15. Подписанное субъектом персональных данных согласие на обработку персональных данных может быть отозвано субъектом персональных данных только посредством направления (представления) им письменного заявления (заявления в форме электронного документа, подписанного в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи") в ГУСП (воинскую часть), где он проходит (проходил) военную службу (федеральную государственную гражданскую службу), осуществляет (осуществлял) трудовую деятельность либо предоставлял согласие на обработку персональных данных.

16. Данное субъектом персональных данных согласие на обработку персональных данных действует:

для федеральных государственных гражданских служащих и работников ГУСПа (организаций ГУСПа) - со дня предоставления ими согласия на обработку персональных данных на время прохождения ими службы (работы);

для военнослужащих ГУСПа - со дня предоставления ими согласия на обработку персональных данных в течение всего срока прохождения военной службы;

для субъектов персональных данных, указанных в подпунктах 2 - 8 пункта 6 Правил, - со дня предоставления ими согласия на обработку персональных данных до достижения целей обработки персональных данных.

Действие данного субъектом персональных данных согласия на обработку персональных данных также прекращается в случае его отзыва субъектом персональных данных в соответствии с пунктом 15 Правил.

17. Одновременно с предоставлением формы согласия субъекту персональных данных доводится под подпись Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные, содержащаяся в приложении N 12 к настоящему приказу (далее - форма разъяснения).

18. Кандидатам, подписавшим форму согласия и (или) форму разъяснения и впоследствии заместившим воинские должности, должности федеральных государственных гражданских служащих, работников ГУСПа (организаций ГУСПа), указанные формы для повторного рассмотрения и подтверждения (подписания) не предоставляются и указанными лицами не подписываются, а включаются в их личные дела.

19. При назначении военнослужащего, федерального государственного гражданского служащего или работника на должность, замещение которой предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, ему подразделением (должностным лицом), на которое возложено ведение учета личного состава, доводится под подпись Типовое обязательство военнослужащего, федерального государственного гражданского служащего, работника Главного управления специальных программ Президента Российской Федерации, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, содержащееся в приложении N 10 к настоящему приказу (далее - обязательство должностного лица ГУСПа).

20. Оригиналы подписанных субъектами персональных данных формы согласия, формы разъяснения и обязательства должностного лица ГУСПа хранятся в их личных делах, в том числе в личных делах кандидатов, которым было отказано в приеме на военную службу (федеральную государственную гражданскую службу, работу), и субъектам персональных данных не выдаются (не возвращаются), а также из указанных дел не изымаются.

21. В случае подачи субъектом персональных данных письменного заявления об отзыве субъектом персональных данных согласия на обработку его персональных данных должностные лица направляют субъекту персональных данных письменное извещение, в котором указывают, что ГУСП (воинская часть) признает отозванное подписанное субъектом персональных данных согласие на обработку персональных данных, но при этом сохраняет за собой право на обработку персональных данных субъекта персональных данных в соответствии с пунктом 12 Правил.

22. Если предоставление персональных данных субъектом персональных данных является обязательным требованием в соответствии с законодательством Российской Федерации, должностное лицо разъясняет субъекту персональных данных юридические последствия его отказа предоставить персональные данные.

23. Обработка персональных данных в целях, определенных пунктом 7 Правил, включает в себя следующие действия: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

24. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 7 Правил, осуществляются путем:

получения оригиналов документов;

получения заверенных в установленном законодательством Российской Федерации порядке копий документов;

копирования оригиналов документов;

внесения сведений в учетные формы (на бумажных и электронных носителях);

формирования персональных данных в ходе кадровой работы;

внесения персональных данных в информационные системы ГУСПа.

25. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 7 Правил.

26. В случае возникновения необходимости получения персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 7 Правил, у третьей стороны следует известить об этом субъектов персональных данных, заранее получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

27. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 7 Правил, осуществляются в соответствии с законодательством Российской Федерации в области персональных данных.

28. Обработка персональных данных без использования средств автоматизации осуществляется с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687.

29. Персональные данные при их обработке, осуществляемой без использования автоматизированных информационных систем, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях.

III. Доступ к персональным данным

30. Доступ к персональным данным предоставляется должностным лицам, а также лицам, реализующим права субъектов персональных данных в соответствии со статьей 14 Федерального закона "О персональных данных".

31. Субъект персональных данных имеет право на доступ к своим персональным данным, в том числе на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных.

32. При реализации лицом прав субъекта персональных данных на получение информации, касающейся обработки своих персональных данных, информация должна предоставляться ему таким образом, чтобы не нарушалась конфиденциальность персональных данных других субъектов персональных данных.

33. Требования по соблюдению конфиденциальности персональных данных являются обязательными при допуске должностного лица к работе с персональными данными.

34. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными обязанностями (должностными инструкциями, должностными регламентами) должностных лиц.

35. При осуществлении доступа к персональным данным, обрабатываемым в информационных системах ГУСПа, должна применяться система регистрации и учета всех действий, совершаемых с персональными данными.

36. Об инцидентах, связанных с попытками нарушения правил разграничения доступа и несанкционированным доступом, должностным лицом, ответственным за обеспечение функционирования информационных систем персональных данных ГУСПа, докладывается лицу, ответственному за организацию обработки персональных данных в ГУСПе.

IV. Порядок обработки персональных данных в информационных системах

37. Информация в информационные системы персональных данных ГУСПа может вноситься как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

38. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных ГУСПа, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, а также организационных и технических мер защиты информации, реализуемых в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и с частью 4 статьи 19 Федерального закона "О персональных данных":

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных ГУСПа;

2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ГУСПа;

3) применение прошедших в установленном законодательством Российской Федерации порядке процедур оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер по их предотвращению и недопущению таких фактов в дальнейшем;

7) восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных ГУСПа, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных ГУСПа;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных ГУСПа.

V. Сроки обработки и хранения персональных данных

39. Обработка персональных данных военнослужащих, федеральных государственных гражданских служащих и работников ГУСПа (организаций ГУСПа) осуществляется в течение всего срока прохождения службы (работы) в ГУСПе (организациях ГУСПа).

40. Обработка персональных данных субъектов персональных данных, указанных в подпунктах 2, 4 - 8 пункта 6 Правил осуществляется до достижения целей обработки персональных данных.

41. Сроки хранения документов, содержащих персональные данные субъектов персональных данных, указанных в пункте 6 Правил, определяются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 г. N 236 (зарегистрирован Минюстом России 6 февраля 2020 г., регистрационный N 57449).

42. Срок хранения персональных данных, внесенных в информационные системы персональных данных ГУСПа, должен соответствовать сроку хранения персональных данных на бумажных носителях.

43. Хранение персональных данных, обработка которых осуществляется в различных целях, определенных Правилами, осуществляется раздельно на разных материальных носителях персональных данных.

VI. Уничтожение персональных данных при достижении целей обработки или при наступлении иных законных оснований

44. Должностными лицами осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.

По результатам контроля и выделения документов оформляется акт о выделении к уничтожению документов, не подлежащих хранению.

45. Уничтожению подлежат обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом "О персональных данных".

46. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных прекращается их обработка и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, они уничтожаются.

47. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается экспертной комиссией, состав которой утверждается приказом ГУСПа (воинской части).

48. Экспертная комиссия принимает решение о согласовании акта о выделении к уничтожению документов, не подлежащих хранению, содержащих персональные данные, который подписывается председателем экспертной комиссии и утверждается начальником ГУСПа (командиром воинской части).

49. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Уничтожение документов, содержащих персональные данные, производится путем сжигания или с помощью бумагорезательной машины.

Уничтожение электронных носителей, содержащих персональные данные, производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

50. Сведения об уничтожении документов, содержащих персональные данные, вносятся в акт о выделении к уничтожению документов, не подлежащих хранению.

------------------------------

¹Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

²Подпункт "д" пункта 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211.

³Распоряжение Правительства Российской Федерации от 26 мая 2005 г. N 667-р; подпункт 2 пункта 1 перечня информации, относящейся к обеспечению собственной безопасности Главного управления специальных программ Президента Российской Федерации, случаев и порядка ее представления в Главное управление специальных программ Президента Российской Федерации, утвержденных приказом ГУСПа от 18 октября 2022 г. N 159 (зарегистрирован Минюстом России 12 декабря 2022 г., регистрационный N 71454).

⁴Абзац третий пункта 23 Положения об управлениях (отделах) Федеральной службы безопасности Российской Федерации в Вооруженных Силах Российской Федерации, других войсках, воинских формированиях и органах (органах безопасности в войсках), утвержденного Указом Президента Российской Федерации от 7 февраля 2000 г. N 318.

------------------------------

Открыть документ в системе ГАРАНТ

Открыть в бесплатной Интернет-версии Открыть в Интернет-версии (только для пользователей системы ГАРАНТ)