Приказ Аппарата Губернатора Иркутской области и Правительства Иркутской области от 09.11.2023 N 44-пра "О внесении изменений в приказ аппарата Губернатора Иркутской области и Правительства Иркутской области от 14 февраля 2018 года N 5-пра"

Приказ Аппарата Губернатора Иркутской области и Правительства Иркутской области от 9 ноября 2023 г. N 44-пра
"О внесении изменений в приказ аппарата Губернатора Иркутской области и Правительства Иркутской области от 14 февраля 2018 года N 5-пра"

В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", руководствуясь статьей 21 Устава Иркутской области, приказываю:

1. Внести в приказ аппарата Губернатора Иркутской области и Правительства Иркутской области от 14 февраля 2018 года N 5-пра "Об обработке персональных данных аппаратом Губернатора Иркутской области и Правительства Иркутской области" (далее - приказ) следующие изменения:

1) в Правилах обработки персональных данных в аппарате Губернатора Иркутской области и Правительства Иркутской области, утвержденных приказом (далее - Правила):

дополнить пунктом 5.1 следующего содержания:

"5.1 Документы, содержащие персональные данные, формируются в дела в соответствии со сводной номенклатурой дел Губернатора Иркутской области, первого заместителя Губернатора Иркутской области, заместителей Губернатора Иркутской области, Правительства Иркутской области, аппарата Губернатора Иркутской области и Правительства Иркутской области.";

абзац второй подпункта 3 пункта 6 дополнить словами "в соответствии с типовой формой согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (приложение 5.1 к настоящим Правилам)";

подпункт 2 пункта 10 изложить в следующей редакции:

"2) граждан, представляющих организацию, в том числе должностных лиц, представляющих государственные органы, органы местного самоуправления;";

подпункт 1 пункта 12 после слов "первого заместителя Губернатора Иркутской области," дополнить словами "заместителей Губернатора Иркутской области,";

пункт 20 изложить в следующей редакции:

"20. В случае увольнения уполномоченного должностного лица, а также в случае невозможности исполнения им должностных обязанностей в связи с состоянием здоровья или другими обстоятельствами, временно препятствующими осуществлению его должностных обязанностей (отпуск, служебная командировка), документы, а также съемные машинные носители, содержащие персональные данные, находящиеся у него в распоряжении в связи с исполнением должностных обязанностей, передаются по акту приема-передачи документов, съемных машинных носителей, содержащих персональные данные (приложение 9 к настоящим Правилам), другому уполномоченному должностному лицу, определенному руководителем соответствующего самостоятельного структурного подразделения аппарата.";

в пункте 21:

абзац первый после слов "правовые, организационные" дополнить словами "и технические";

абзац шестой изложить в следующей редакции:

"2) в случае расторжения служебного контракта (контракта) или трудового договора до дня прекращения служебных (трудовых) отношений с аппаратом сдать документы, съемные машинные носители, содержащие персональные данные, находящиеся у него в распоряжении в связи с исполнением должностных обязанностей;";

пункт 23 изложить в следующей редакции:

"23. Обеспечение безопасности персональных данных при их обработке в аппарате достигается, в частности:

1) допуском к обработке персональных данных только уполномоченных должностных лиц;

2) обособлением персональных данных от иной информации, в частности путем их фиксации на отдельных материальных носителях;

3) недопущением фиксации на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы;

4) обеспечением раздельного хранения материальных носителей, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

5) соблюдением условий, обеспечивающих сохранность материальных носителей, содержащих персональные данные, и исключающих несанкционированный доступ к ним;

6) осуществлением учета документов и съемных машинных носителей, содержащих персональные данные;

7) обработкой персональных данных в помещениях, которые специально оборудованы для целей обработки персональных данных (далее - помещения);

8) ограничением доступа в помещения лиц, не являющихся уполномоченными должностными лицами, в том числе государственных гражданских служащих Иркутской области и (или) работников, замещающих должности, не являющиеся должностями государственной гражданской службы Иркутской области, на основании трудового договора;

9) обнаружением фактов нарушений законодательства, допущенных при обработке персональных данных в аппарате, и устранением обнаруженных нарушений;

10) обнаружением фактов несанкционированного доступа к персональным данным в аппарате и принятием мер;

11) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.";

в пункте 24:

подпункт 7 изложить в следующей редакции:

"7) организацией учета и хранения съемных машинных носителей, содержащих персональные данные, а также их использование, исключающее вероятность возникновения угрозы их безопасности (неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, иных неправомерных действий);";

дополнить подпунктом 8 следующего содержания:

"8) обеспечением резервирования технических средств, дублированием массивов и носителей информации.";

пункт 30 изложить в следующей редакции:

"30. Для помещений организуется режим обеспечения безопасности, при котором гарантируется сохранность материальных носителей, содержащих персональные данные, а также исключается возможность неконтролируемого доступа и нахождения в них посторонних лиц.

Режим обеспечения безопасности реализуется посредством:

регламентирования доступа уполномоченных должностных лиц к материальным носителям, содержащим персональные данные, хранение которых осуществляется в сейфах, запирающихся на ключ шкафах (далее - хранилища носителей персональных данных) посредством ведения журнала учета хранилищ носителей персональных данных (приложение 10 к настоящим Правилам);

учета приема и сдачи ключей от хранилищ носителей персональных данных посредством ведения журнала учета ключей от хранилищ носителей персональных данных (приложение 11 к настоящим Правилам);

закрытия дверей помещений на ключ, в том числе при выходе из них уполномоченных должностных лиц в рабочее время;

фиксации приема материальных носителей, содержащих персональные данные, посредством ведения журнала учета приема материальных носителей, содержащих персональные данные (приложение 12 к настоящим Правилам);

при необходимости опечатывания (опломбирования) помещений при помощи печатей (пломбировочных устройств) по окончании рабочего дня или оборудования помещений специальными техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений.";

в абзаце первом пункта 32 цифры "33 - 45" заменить цифрами "32.1 - 45";

дополнить пунктом 32.1 следующего содержания:

"32.1 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, уполномоченное должностное лицо обязано с момента выявления такого инцидента аппаратом, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством о персональных данных.";

дополнить пунктом 64 следующего содержания:

"64. В случае если обработка персональных данных осуществляется аппаратом без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.

В случае если обработка персональных данных осуществляется аппаратом с использованием средств автоматизации или одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных, соответствующие требованиям, содержащимся в пунктах 3-5 Требований к подтверждению уничтожения персональных данных, утвержденных приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 года N 179.";

приложение 1 к Правилам изложить в новой редакции (прилагается);

дополнить приложением 5.1 (прилагается);

дополнить приложениями 9 - 12 (прилагаются);

2) в Правилах осуществления внутреннего контроля обработки персональных данных в аппарате Губернатора Иркутской области и Правительства Иркутской области, утвержденных приказом:

пункт 15 изложить в следующей редакции:

"15. Плановые проверки проводятся на основании плана проверок, утверждаемого правовым актом аппарата ежегодно не позднее 20 декабря года, предшествующего году проведения плановых проверок.";

пункт 16 изложить в следующей редакции:

"16. Внеплановые проверки проводятся по решению:

1) руководителя аппарата, данному в целях контроля устранения нарушений, выявленных в ходе плановой (внеплановой) проверки;

2) должностного лица, ответственного за организацию обработки персональных данных в аппарате, или руководителя самостоятельного структурного подразделения аппарата (далее вместе - ответственное должностное лицо), принимаемому на основании:

обращения (запроса) субъекта персональных данных (его представителя);

запроса уполномоченного органа по защите прав субъектов персональных данных;

сообщения уполномоченного должностного лица о выявленных им (ставших ему известными) нарушениях законодательства Российской Федерации при обработке персональных данных в аппарате.";

пункт 18 дополнить подпунктом 4 следующего содержания:

"4) самостоятельных структурных подразделениях аппарата (уполномоченных должностных лицах), деятельность которых подлежит проверке.";

в подпункте 1 пункта 24 слово ", время" исключить;

3) Перечень информационных систем персональных данных в аппарате Губернатора Иркутской области и Правительства Иркутской области, утвержденный приказом, дополнить пунктом 5 следующего содержания:

"

5.

"Автоматизированное рабочее место участника государственной информационной системы в области противодействия коррупции "Посейдон"

Управление по профилактике коррупционных и иных правонарушений

";

4) абзац первый пункта 2 Перечня персональных данных, обрабатываемых аппаратом Губернатора Иркутской области и Правительства Иркутской области в целях осуществления функций, возложенных на него законодательством Российской Федерации, утвержденного приказом, изложить в следующей редакции:

"2. В отношении граждан, представляющих организацию, в том числе должностных лиц, представляющих государственные органы, органы местного самоуправления:";

5) Перечень должностей в аппарате Губернатора Иркутской области и Правительства Иркутской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утвержденный приказом, изложить в новой редакции (прилагается).

2. Настоящий приказ подлежит официальному опубликованию в общественно-политической газете "Областная", сетевом издании "Официальный интернет-портал правовой информации Иркутской области" (ogirk.ru), а также на "Официальном интернет-портале правовой информации" (www.pravo.gov.ru) после его государственной регистрации.

3. Настоящий приказ вступает в силу после дня его государственной регистрации.

Руководитель аппарата Губернатора Иркутской области и Правительства Иркутской области

С.В. Боброва