Приложение 1. Правила обработки персональных данных в департаменте по делам казачества, военным вопросам и работе с допризывной молодежью Краснодарского края. Приказ департамента по делам казачества, военным вопросам и работе с допризывной молодежью Краснодарского края от 21.11.2023 N 191 "О мерах, направленных на реализацию требований законодательства Российской Федерации в сфере обработки и защиты персональных данных"

Приложение 1
Утверждены
приказом департамента по
делам казачества, военным
вопросам и работе с
допризывной молодежью
Краснодарского края
от 21.11.2023 N 191

Правила
обработки персональных данных в департаменте по делам казачества, военным вопросам и работе с допризывной молодежью Краснодарского края

1. Основные понятия

1.1. Для целей настоящих правил обработки персональных данных в департаменте по делам казачества, военным вопросам и работе с допризывной молодежью Краснодарского края (далее соответственно - Правила, департамент) используются следующие основные понятия:

безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;

технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;

угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе 2 случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

1.2. Остальные основные понятия определены Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).

2. Общие положения

2.1. Правила разработаны для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных департамента по делам казачества, военным вопросам и работе с допризывной молодежью Краснодарского края (далее - департамент), защиты прав и свобод человека и гражданина при обработке их персональных данных в департаменте, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, а также разъяснения ответственности государственных гражданских служащих Краснодарского края, замещающих должности государственной гражданской службы в департаменте по делам казачества, военным вопросам и работе с допризывной молодежью Краснодарского края (далее - государственные служащие), имеющих доступ к персональным данным, за невыполнение требований норм и правил, регулирующих обработку и защиту персональных данных.

2.2. Правила устанавливают порядок обработки персональных данных субъектов персональных данных в департаменте и направлены на выявление, предотвращение и профилактику нарушений законодательства Российской Федерации в сфере защиты персональных данных.

2.3. Правила действуют в отношении всех персональных данных, которые обрабатывает департамент.

2.4. Субъектами персональных данных в департаменте являются:

1) государственные служащие;

2) близкие родственники государственных служащих;

3) уволенные государственные служащие;

4) кандидаты на замещение вакантной должности в департаменте;

5) кандидаты на включение в кадровый резерв департамента:

6) лица, представляемые к наградам и иным формам поощрения;

7) граждане, направившие обращения в письменной форме либо обратившиеся лично в департамент;

8) лица, обработка персональных данных которых осуществляется в связи с исполнением государственного контракта;

9) лица, обработка персональных данных которых осуществляется в связи с выполнением возложенных законодательством Российской Федерации на департамент функций, полномочий и обязанностей.

2.5. Правила определяют необходимый минимальный объём мер, соблюдение которых позволяет предотвратить утечку сведений, относящихся к персональным данным. При необходимости могут быть введены дополнительные меры, направленные на усиление защиты персональных данных.

2.6. Правила разработаны в соответствии со следующими нормативными правовыми актами Российской Федерации:

1) Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 г. ратифицированная Федеральным законом Российской Федерации от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных";

2) Конституция Российской Федерации;

3) Гражданский кодекс Российской Федерации;

4) Кодекс Российской Федерации об административных, правонарушениях;

5) Трудовой кодекс Российской Федерации;

6) Уголовный кодекс Российской Федерации;

7) Федеральный закон от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской федерации";

8) Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

9) Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

10) Указ Президента Российской Федерации от 6 марта 1997 г. N 188 "Об утверждении Перечня сведений конфиденциального характера";

11) постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

12) постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

13) постановление Правительства. Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

2.7. Обработка персональных данных в департаменте осуществляется с соблюдением принципов и условий, предусмотренных политикой и законодательством Российской Федерации в области обработки и защиты персональных данных.

2.8. В соответствии с законодательством Российской Федерации об обработке и защите персональных данных персональные данные субъектов персональных данных являются конфиденциальной информацией.

2.9. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только те персональные данные, которые отвечают целям их обработки и не должны быть избыточными по отношению к заявленным целям.

2.10. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

2.11. В случаях, предусмотренных действующим законодательством, сведения о доходах, об имуществе и обязательствах имущественного характера. гражданского служащего, его супруги (супруга) и несовершеннолетних детей могут размещаться на официальном сайте департамента или предоставляться региональным средствам массовой информации по их запросам для последующего опубликования.

2.12. Порядок регистрации, учёта, оформления, тиражирования, хранения, использования и уничтожения документов и других материальных носителей персональных данных определяют законодательство Российской Федерации об обработке и защите персональных данных, а также действующие правовые акты департамента.

2.13. Департамент является оператором персональных данных субъектов персональных данных, указанных в настоящих Правилах. Департамент вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо путем принятия департаментом соответствующего акта (далее - поручение департамента). Лицо, осуществляющее обработку персональных данных по поручению департамента, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом N 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ. В поручении департамента должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 5 и статьей 18.1 Федерального закона N 152-ФЗ, обязанность по запросу департамента в течение срока действия поручения министерства, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения департамента требований, установленных в соответствии со статьей 6 Федерального закона N 152-ФЗ, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона N 152-ФЗ, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона N 152-ФЗ.

2.14. Лицо, осуществляющее обработку персональных данных по поручению департамента, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

2.15. В случаях, когда департамент поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет департамент. Лицо, осуществляющее обработку персональных данных по поручению министерства, несет ответственность перед департаментом.

2.16. В случае, если департамент поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет департамент и лицо, осуществляющее обработку персональных данных по поручению департамента.

2.17. Департамент и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2.18. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции Российской Федерации, департамент вправе собирать, хранить, использовать и распространять информацию о частной жизни государственных служащих только с их согласия.

2.19. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

2.20. Департамент не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.

3. Цель и содержание обработки персональных данных

3.1. Департамент осуществляет на законной и справедливой основе обработку персональных данных, при этом обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

3.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки и не являются избыточными по отношению к заявленным целям их обработки.

3.3. Целями обработки персональных данных в департаменте являются:

1) обработка в соответствии с трудовым законодательством;

2) работа с обращениями граждан и организаций;

3) реализация полномочий и функций, установленных Положением о департаменте по делам казачества, военным вопросам и работе с допризывной молодежью Краснодарского края, утвержденным постановлением главы администрации (губернатора) Краснодарского края от 25 декабря 2015 г. N 1276;

4) осуществление пропускного режима.

3.4. Цель "обработка в соответствии с трудовым законодательством" достигается посредством обработки персональных данных следующих субъектов персональных данных:

1) государственные служащие;

2) уволенные государственные служащие;

3) кандидаты на замещение вакантной должности в департаменте;

4) близкие родственники государственных служащих;

5) кандидаты на включение в кадровый резерв департамента;

6) лица, представляемые к наградам и иным формам поощрения.

При этом предусмотрена обработка следующих категорий персональных данных в рамках указанной в настоящем пункте цели:

1) фамилия, имя, отчество;

2) дата рождения, место рождения;

3) гражданство;

4) информация о близких родственниках (отце, матери, братьях, сестрах и детях), а также супруге (супруги) (степень родства, фамилии, имена, отчества, даты рождения);

5) места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестёр и детей), а также супруга (супруги);

6) фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших супругов (супруг);

7) информация о близких родственниках (отце, матери, братьях, сестрах и детях), а также супруге (супруги), в том числе бывших, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей);

8) адрес;

9) контактные сведения (номер телефона, электронная почта);

10) данные документа, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан);

11) отношение к воинской обязанности, сведения по воинскому учёту (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);

12) семейное положение;

13) образование (когда и какие образовательные учреждения окончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);

14) послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), учёная степень, учёное звание (когда присвоены, номера дипломов, аттестатов);

15) профессия;

16) классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены);

17) информация о трудовой деятельности;

18) идентификационный номер налогоплательщика;

19) данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;

20) реквизиты страхового медицинского полиса обязательного медицинского страхования;

21) реквизиты свидетельства о государственной регистрации актов гражданского состояния;

22) данные справки о наличии (отсутствии) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или её прохождению, подтверждённого заключением медицинского учреждения;

23) сведения, указанные в анкете, подлежащей представлению в государственный орган гражданином Российской Федерации, изъявившим желание участвовать в конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации или поступающим на государственную гражданскую службу Российской Федерации;

24) сведения, указанные в анкете (форма 4, утвержденная постановлением Правительства Российской Федерации от 6 февраля 2010 г. N 63);

25) данные справки о наличии (отсутствии) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну;

26) сведения о прохождении гражданской службы;

27) сведения, содержащиеся в служебном контракте (дополнительном соглашении к служебному контракту);

28) сведения о пребывании за границей;

29) сведения о наличии (отсутствии) судимости;

30) информация о допуске к государственной тайне, оформленном за период работы, службы, учёбы (форма, номер и дата);

31) сведения о наградах и иных поощрениях;

32) сведения о профессиональной подготовке и (или) повышении квалификации;

33) сведения об отпусках;

34) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей;

35) сведения об адресах сайтов и (или) страниц сайтов в информационно-телекоммуникационной сети "Интернет", на которых гражданин, претендующий на замещение должности гражданской службы, гражданский служащий размещали общедоступную информацию, а также данные, позволяющие их идентифицировать;

36) банковские реквизиты;

37) социальное положение;

38) имущественное положение;

39) фотография;

40) иные персональные данные, отвечающие цели обработки персональных данных или которые субъект персональных данных пожелал сообщить о себе в рамках указанной выше цели.

3.5. Цель "работа с обращениями граждан и организаций" достигается посредством обработки персональных данных следующих субъектов персональных данных: граждане, направившие обращения в письменной форме, либо обратившиеся лично в департамент.

При этом предусмотрена обработка следующих категорий персональных данных в рамках указанной в настоящем пункте цели:

1) фамилия, имя, отчество;

2) дата рождения, место рождения;

3) адрес;

4) контактные сведения;

5) гражданство;

6) профессия;

7) информация о трудовой деятельности;

8) социальное положение;

9) адрес электронной почты;

10) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения обращения.

3.6. Цель "реализация полномочий и функций, установленных Положением о департаменте по делам казачества, военным вопросам и работе с допризывной молодежью Краснодарского края, утвержденным постановлением главы администрации (губернатора) Краснодарского края от 25 декабря 2015 г. N 1276", достигается посредством обработки персональных данных следующих субъектов персональных данных:

1) лица, обработка персональных данных которых осуществляется в связи с исполнением государственного контракта;

2) лица, обработка персональных данных которых осуществляется в связи с выполнением возложенных законодательством Российской Федерации на департамент функций, полномочий и обязанностей.

При этом предусмотрена обработка следующих категорий персональных данных в рамках указанной в настоящем пункте цели:

1) фамилия, имя, отчество;

2) дата рождения, место рождения;

3) адрес;

4) контактные сведения;

5) номер телефона;

6) паспортные данные;

7) гражданство;

8) идентификационный номер налогоплательщика;

9) иные персональные данные, отвечающие цели обработки.

3.7. Цель "осуществление пропускного режима" достигается посредством обработки персональных данных следующих субъектов персональных данных:

1) государственные служащие;

2) близкие родственники государственных служащих;

3) уволенные государственные служащие;

4) кандидаты на замещение вакантной должности в департаменте;

5) кандидаты на включение в кадровый резерв департамента;

6) лица, представляемые к наградам и иным формам поощрения;

7) граждане, направившие обращения в письменной форме, либо обратившиеся лично в департамент;

8) лица, обработка персональных данных которых осуществляется в связи с исполнением государственного контракта;

9) лица, обработка персональных данных которых осуществляется в связи с выполнением возложенных законодательством Российской Федерации на департамент функций, полномочий и обязанностей;

При этом предусмотрена обработка следующих категорий персональных данных в рамках указанной в настоящем пункте цели:

1) фамилия, имя, отчество;

2) паспортные данные;

3) номер телефона;

4) иные персональные данные, отвечающие цели обработки.

4. Правила обработки персональных данных

4.1. Все персональные данные субъектов персональных данных департамент получает от них самих либо от их представителей.

4.2. Персональные данные близких родственников государственных служащих, необходимые для ведения кадрового учёта, департамент получает от самих государственных служащих.

4.3. Обработка персональных данных осуществляется на законной и справедливой основе, а также с соблюдением принципов и правил, предусмотренных Федеральным законом N 152-ФЗ на основании согласия субъекта персональных данных на обработку его персональных данных, кроме случаев, предусмотренных Федеральным законом N 152-ФЗ.

Форма согласия утверждается приказом департамента. Допускается совмещение формы согласия субъекта персональных данных с типовыми формами документов, содержащих персональные данные субъекта персональных данных (анкеты, бланки и другие).

4.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

В случае получения согласия на обработку персональных данных от представителя субъекта и персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются департаментом.

4.5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных департамент вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе N 152-ФЗ.

4.6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

4.7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

4.8. При установлении договорных отношений с субъектом персональных данных получение письменного согласия на обработку его персональных данных не требуется.

4.9. Персональные данные субъектов персональных данных департамента обрабатываются в структурных подразделениях департамента в соответствии с исполняемыми ими функциями и обязанностями.

4.10. Доступ к персональным данным, обрабатываемым без использования средств автоматизации, осуществляется в соответствии с перечнем должностей, утверждённым приказом департамента.

4.11. Доступ к информационным системам персональных данных, осуществляется в соответствии с перечнем должностей, утверждённым приказом департамента.

4.12. Уполномоченные лица, допущенные к персональным данным субъектов персональных данных департамента, вправе получать только те персональные данные субъекта персональных данных, которые необходимы для выполнения конкретных функций, в соответствии с должностными инструкциями (обязанностями) указанных лиц.

4.13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённого постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687.

4.14. Персональные данные, обрабатываемые без использования средств автоматизации, должны обособляться от иной информации, в том числе путём фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

4.15. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

4.16. Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и сейфах.

4.17. Хранение персональных данных, в том числе на материальных носителях персональных данных, в департаменте осуществляется в соответствии со сроками, установленными законодательством Российской Федерации.

4.18. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных департамента, соответствует сроку хранения персональных данных на бумажных носителях.

4.19. Персональные данные субъектов персональных данных, обрабатываемые департаментом, подлежат уничтожению либо блокированию, либо обезличиванию в случае:

1) достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;

2) если обрабатываемые персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) прекращения деятельности департамента;

4) при выявлении фактов неправомерной обработки персональных данных;

5) при отзыве субъектом персональных данных согласия, если иное не предусмотрено Федеральным законом N 152-ФЗ;

6) истечения установленного срока хранения.

4.20. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных департамент осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению департамента) с момента такого обращения или получения указанного запроса на период проверки.

4.21. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных департамент осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению департамента) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

4.22. В случае подтверждения факта неточности персональных данных департамент на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению департамента) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

4.23. В случае выявления неправомерной обработки персональных данных, осуществляемой департаментом или лицом, действующим по поручению департамента, департамент в срок, не превышающий 3-х рабочих дней с даты этого выявления, осуществляет прекращение неправомерной обработки персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению департамента.

4.24. В случае, если обеспечить правомерность обработки персональных данных невозможно, департамент в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, осуществляет уничтожение таких персональных данных или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению департамента).

Решение о неправомерности обработки персональных данных и необходимости уничтожения персональных данных принимает ответственный за организацию обработки персональных данных в департаменте, который доводит соответствующую информацию руководителю департамента по делам казачества, военным вопросам и работе с допризывной молодежью Краснодарского края (далее - руководитель) (заместителя руководителя, заместителя руководителя, начальника отдела).

Об устранении допущенных нарушений или об уничтожении персональных данных департамент уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4.25. В случае достижения цели обработки персональных данных департамент прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению департамента) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению департамента) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между департаментом и субъектом персональных данных, либо если департамент не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом N 152-ФЗ или другими федеральными законами.

4.26. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных департамент прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению департамента) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению департамента) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между департаментом и субъектом персональных данных, либо если департамент не вправе осуществлять обработку персональных данных без согласия субъекта, персональных данных на основаниях, предусмотренных Федеральным законом N 152-ФЗ или другими федеральными законами.

4.27. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, департамент вносит в них необходимые изменения.

4.28. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, департамент уничтожает такие персональные данные. При этом департамент уведомляет субъекта персональных данных или его представителя о внесенных изменениях и принятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4.29. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 4.28 Правил, департамент осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению министерства) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

4.30. Уничтожение персональных данных в департаменте осуществляет комиссия по уничтожению персональных данных в департаменте, созданная приказом департамента (далее - комиссия), в установленном законом порядке.

4.31. Уничтожение персональных данных производится гарантированными методами и средствами, не позволяющими идентифицировать субъекта персональных данных.

4.32. Способ уничтожения материальных носителей персональных данных определяется комиссией.

Допускается применение следующих способов:

1) сжигание;

2) шредирование (измельчение);

3) передача на специализированные полигоны (свалки);

4) химическая обработка.

При этом составляется акт уничтожения документов, содержащих персональные данные субъекта персональных данных. Форма акта утверждается приказом департамента.

4.33. При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций.

В этом случае комиссия должна присутствовать при уничтожении материальных носителей персональных данных.

При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей персональных данных, подлежащих уничтожению, в специализированную организацию.

4.34. Уничтожение полей баз данных департамента, содержащих персональные данные субъекта персональных данных, выполняется по заявке руководителя структурного подразделения департамента, обрабатывавшего персональные данные и установившего необходимость их уничтожения.

4.35. Уничтожение полей баз данных департамента осуществляет комиссия.

4.36. Уничтожение полей баз данных департамента достигается путём затирания информации на носителях информации (в том числе и резервных копиях) или путём механического нарушения целостности носителя информации, не позволяющего произвести считывание или восстановление персональных данных.

При этом составляется акт уничтожения полей баз данных, содержащих персональные данные субъекта персональных данных. Форма акта утверждается приказом департамента.

4.37. Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определённого срока предусмотрены соответствующими нормативными и (или) договорными документами.

4.38. Уничтожение персональных данных на электронных носителях информации производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

4.39. При невозможности осуществления уничтожения информации в базах данных или на носителях, допускается проведение обезличивания путём перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта персональных данных была невозможна.

4.40. Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных в департаменте.

4.41. Особенности обработки специальных категорий персональных данных, а также сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), установлены соответственно статьями 10 и 11 Федерального закона N 152-ФЗ.

4.42. Ответственный за организацию обработки персональных данных в департаменте ознакамливает под роспись государственных служащих с требованиями законодательства Российской Федерации, касающимися обработки персональных данных, настоящими Правилами и другими документами департамента, устанавливающими порядок обработки персональных данных субъектов персональных данных, а также права и обязанности в этой области.

5. Передача персональных данных третьим лицам

5.1. При обработке персональных данных субъекта персональных данных не допускается раскрытие персональных данных третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

5.2. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2021 г. N 18.

5.3. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, в департаменте осуществляется в соответствии со статьей 10.1 Федерального закона N 152-ФЗ.

5.4. Лица, получившие доступ к персональным данным субъекта персональных данных в целях осуществления обработки персональных данных по поручению департамента, обязаны соблюдать режим конфиденциальности в отношении этих данных.

5.5. При необходимости трансграничной передачи персональных данных на территорию иностранных государств, департамент осуществляет такую передачу в соответствии со статьей 12 Федерального закона N 152-ФЗ.

6. Права субъектов персональных данных

Права субъектов персональных данных определены Федеральным законом N 152-ФЗ и иными нормативными правовыми актами в сфере обработки и защиты персональных данных.

7. Порядок действий в случае запросов надзорных органов

7.1. В соответствии с частью 4 статьи 20 Федерального закона N 152-ФЗ департамент сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.

Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления департаментом в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7.2. Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных в департаменте при необходимости с привлечением государственных служащих.

7.3. В течение установленного законодательством срока ответственный за организацию обработки персональных данных в департаменте подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.

8. Защита персональных данных субъекта персональных данных

8.1. Защиту персональных данных субъектов персональных данных от неправомерного их использования или утраты департамент обеспечивает за счёт бюджетных средств, выделенных департаменту, в порядке, установленном законодательством Российской Федерации.

8.2. При обработке персональных данных должны быть приняты необходимые организационные и технические меры по обеспечению их конфиденциальности.

8.3. Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:

1) приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

2) приказом ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

3) специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002 г. N 282;

4) внутренними документами департамента, действующими в сфере обеспечения информационной безопасности.

8.4. Защита персональных данных предусматривает ограничение к ним доступа, исключение к ним несанкционированного доступа, а также обеспечение сохранности персональных данных.

8.5. Ответственный за организацию обработки персональных данных, защиту и техническое обслуживание информационных систем персональных данных в департаменте назначается приказом департамента.

8.6. Руководитель структурного подразделения департамента, осуществляющего обработку персональных данных:

1) несёт ответственность за обработку и обезличивание персональных данных в структурном подразделении;

2) закрепляет в Журнале учета носителей персональных данных (далее - Журнал) за сотрудниками, уполномоченными обрабатывать персональные данные, конкретные материальные носители, на которых допускается хранение персональных данных в случае, если такие носители необходимы для выполнения возложенных на сотрудников функций и задач. Журнал хранится у ответственного за организацию обработки персональных данных в департаменте;

3) обеспечивает режим конфиденциальности в отношении персональных данных, обрабатываемых в структурном подразделении (отделе) департамента;

4) контролирует порядок доступа к персональным данным в соответствии с функциональными обязанностями сотрудников подразделения.

8.7. Государственные служащие, допущенные к персональным данным, дают письменное обязательство о неразглашении таких данных.

9. Обязанности лиц, допущенных к обработке персональных данных

Лица, допущенные к работе с персональными данными, обязаны:

1) знать законодательство Российской Федерации в области обработки и защиты персональных данных, правовые акты департамента по обработке и защите персональных данных;

2) сохранять конфиденциальность персональных данных;

3) обеспечивать сохранность закреплённых за ними носителей персональных данных;

4) контролировать срок истечения действия согласий на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки персональных данных;

5) докладывать своему непосредственному руководителю структурного подразделения обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъектов персональных данных

Лица, виновные в нарушении норм, регулирующих получение, обработку, передачу и защиту персональных данных субъекта персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

Начальник отдела государственной службы и кадров, правового и финансового обеспечения департамента по делам казачества, военным вопросам и работе с допризывной молодежью Краснодарского края

М.А. Денисенко