Приложение 1. Правила обработки персональных данных в службе государственного строительного надзора Ивановской области. Приказ Службы государственного строительного надзора Ивановской области от 29.11.2023 N 170 "Об утверждении документов, определяющих политику в отношении обработки персональных данных в службе государственного строительного надзора Ивановской области" (с изменениями и дополнениями)

Приложение 1
к приказу
службы государственного
строительного надзора
Ивановской области
от 29.11.2023 N 170

Правила
обработки персональных данных в службе государственного строительного надзора Ивановской области

1. Общие положения

1.1. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в службе государственного строительного надзора Ивановской области (далее именуются - Правила), разработаны на основании требований Трудового кодекса Российской Федерации, Федеральных законов от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации", от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), Указа Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлений Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", от 01 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Под персональными данными в соответствии с Федеральным законом N 152-ФЗ понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.2. Обработка персональных данных осуществляется Службой в соответствии с требованиями Федерального закона N 152-ФЗ и принятыми в соответствии с ним иными правовыми актами, регулирующими вопросы обработки и защиты персональных данных. При обработке персональных данных Служба придерживается принципов, установленных законодательством Российской Федерации в области персональных данных.

1.3. Служба осуществляет обработку персональных данных в соответствии с Перечнем персональных данных, обрабатываемых в Службе в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных функций.

1.4. Информация о персональных данных может содержаться на бумажных и (или) электронных носителях, а также в информационных системах персональных данных Службы.

1.5. Служба осуществляет обработку персональных данных как с использованием средств вычислительной техники (в том числе в информационных системах), так и без использования этих средств.

1.6. Обеспечение безопасности персональных данных, обрабатываемых Службой, достигается скоординированным применением различных по своему характеру мер как организационного, так и технического характера.

1.7. Действие настоящих Правил не распространяется на отношения, возникшие при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

2. Принципы и цели обработки персональных данных

2.1. Принципы обработки персональных данных:

2.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе;

2.1.2. Обработка персональных данных должна ограничиваться достижением конкретных определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

2.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

2.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки;

2.1.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

2.1.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица службы должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

2.1.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

2.2. Обработке в Службе подлежат только те персональные данные, которые отвечают нижеследующим целям их обработки:

2.2.1. Формирование кадрового резерва государственной гражданской службы в Службе;

2.2.2. Прохождение государственной гражданской службы Ивановской области в Службе;

2.2.3. Рассмотрение обращений граждан в порядке, предусмотренном Федеральный закон N 59-ФЗ;

2.2.4. Исполнение полномочий Службы по осуществлению функции по региональному государственному строительному надзору на территории Ивановской области;

2.2.5. Исполнение функций администратора доходов бюджета в части учета наложенных административных штрафов;

2.2.6. Статистические или иные исследовательские цели, за исключением целей, указанных в статье 15 Федерального закона N 152-ФЗ, при условии обязательного обезличивания персональных данных.

3. Мероприятия, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

3.1. Служба устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

3.1.1. Издание нормативных правовых актов, локальных актов Службы по вопросам обработки персональных данных;

3.1.2. Назначение ответственного за организацию обработки персональных данных;

3.1.3. Определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Службе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;

3.1.4. Ознакомление государственных гражданских служащих Службы, непосредственно осуществляющих обработку персональных данных, под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Службы в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

3.1.5. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

3.1.6. Размещение на официальном сайте Службы в информационно-телекоммуникационной сети "Интернет" документов, определяющих политику Службы в отношении обработки персональных данных, реализуемые требования к защите персональных данных;

3.1.7. Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Службы в отношении обработки персональных данных.

4. Категории субъектов, персональные данные которых обрабатываются

4.1. К категориям субъектов, персональные данные которых обрабатываются в Службе, относятся:

4.1.1. Государственные гражданские служащие Службы;

4.1.2. Близкие родственники гражданских служащих Службы, персональные данные которых необходимы в целях выполнения требований законодательства о государственной гражданской службе Российской Федерации и законодательства о противодействии коррупции;

4.1.3. Граждане, включенные в кадровый резерв на государственной гражданской службе Ивановской области;

4.1.4. Граждане, не допущенные к участию в конкурсах;

4.1.5. Граждане, участвовавшие в конкурсах, но не прошедшие конкурсный отбор;

4.1.6. Граждане, претендующие на замещение вакантной должности государственной гражданской службы Ивановской области в Службе;

4.1.7. Граждане, претендующие на включение в кадровый резерв на государственной гражданской службе Ивановской области;

4.1.8. Граждане, обратившиеся в Службу за предоставлением государственной функции по осуществлению регионального государственного строительного надзора;

4.1.9. Граждане, в отношении которых ведется производство по делам об административных правонарушениях;

4.1.10. Граждане, обратившиеся непосредственно в Службу, а также граждане, чьи обращения поступили в Службу в соответствии с ее компетенцией из других государственных органов, органов местного самоуправления и от иных должностных лиц в порядке, предусмотренном Федеральным законом N 59-ФЗ.

5. Организация обработки, сроки обработки и хранения персональных данных

5.1. Обработка персональных данных в Службе включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.2. Информация о персональных данных может содержаться:

5.2.1. на бумажных носителях;

5.2.2. на электронных носителях;

5.2.3. в информационных системах Службы;

5.2.4. на интернет-ресурсах, оператором которых является Служба.

Персональные данные в Службе обрабатываются как без использования средств автоматизации, так и с применением средств вычислительной техники.

5.3. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных, которое действует со дня его поступления в Службу и до достижения цели обработки, если иное не установлено законодательством Российской Федерации.

5.4. В случае необходимости предоставления персональных данных, предусмотренных действующим законодательством, субъектам персональных данных разъясняются юридические последствия отказа в предоставлении своих персональных данных. В случае отказа субъекта персональных данных предоставить свои персональные данные разъяснения юридических последствий такого отказа оформляются в письменном виде согласно приложению 11 к настоящему приказу.

5.5. Не допускается получать и обрабатывать персональные данные субъектов, не предусмотренные перечнями персональных данных, которые обрабатываются в Службе, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона N 152-ФЗ.

5.6. Передача (распространение, предоставление) персональных данных субъектов третьим лицам должна осуществляться с согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.

5.7. Документы, содержащие персональные данные, обрабатываются в сроки, обусловленные заявленными целями их обработки.

5.8. Использование персональных данных осуществляется с момента их получения Службой и прекращается:

5.8.1. По достижении целей обработки персональных данных.

5.8.2. В связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных, если иное не установлено законодательством Российской Федерации.

5.9. Сроки хранения персональных данных устанавливаются в соответствии с номенклатурой дел Службы.

5.10. Контроль за хранением и использованием материальных носителей персональных данных, не допускающим несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Службы, осуществляющих обработку персональных данных.

5.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

5.1.1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку персональных данных и предоставляется непосредственно Службе. Служба обеспечивает возможность субъекту персональных данных определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения в целях обеспечения открытости деятельности Службы, обеспечения задач кадровой работы, в том числе кадрового учета, делопроизводства, содействия в осуществлении служебной (трудовой) деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности субъектов персональных данных, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.

5.1.2. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

5.1.3. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Службой неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Службы в установлении субъектом персональных данных запретов и условий не допускается.

5.1.4. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

5.1.5. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, прекращается в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные обрабатываются только оператором, которому оно направлено.

5.1.6. Действие согласия субъекта персональных данных на обработку персональных данных для распространения прекращается с момента поступления в Службу соответствующего требования.

5.1.7. Требования данного раздела не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

6. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

6.1. Службой проводится систематический контроль и выделение документов на бумажных и/или электронных носителях, содержащих персональные данные с истекшими сроками хранения или подлежащих уничтожению при наступлении иных законных оснований.

6.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии, уполномоченной начальником Службы. По итогам заседания комиссии составляются акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность. Акт подписывается председателем и членами комиссии и утверждается начальником Службы.

6.3. Документы на бумажных носителях, выделенные к уничтожению согласно акту, уничтожаются способом, не позволяющим произвести считывание или восстановление персональных данных (измельчение, сжигание, химическое уничтожение). Уничтожение персональных данных, содержащихся на электронных носителях, выделенных к уничтожению согласно акту, производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

6.4. По окончании процедуры уничтожения комиссией составляется соответствующий акт об уничтожении документов, содержащих персональные данные. Акт подписывается председателем и членами комиссии и утверждается руководителем Службы.

7. Обязанности уполномоченных лиц на получение, обработку, хранение, передачу и любое другое использование персональных данных при обработке персональных данных

7.1. Лицо, ответственное за организацию обработки персональных данных в Службе (далее - ответственный за организацию обработки персональных данных), назначается приказом начальника Службы.

7.2. Ответственный за организацию обработки персональных данных обязан:

7.2.1. Знать и выполнять требования законодательства в области обработки и обеспечения защиты персональных данных, а также требования настоящих Правил;

7.2.2. Осуществлять внутренний контроль соблюдения Федерального закона N 152-ФЗ, в том числе требований к защите персональных данных;

7.2.3. Участвовать в процессе разработки комплекса мер, направленных на устранение нарушений в сфере персональных данных;

7.2.4. Доводить до сведения должностных лиц Службы, положения Федерального закона N 152-ФЗ, локальных нормативных актов по вопросам обработки персональных данных, требований к защите персональных данных;

7.2.5. Осуществлять взаимодействие с уполномоченным органом по защите прав субъектов персональных данных по вопросам обработки и защиты персональных данных.

7.3. Должностные лица Службы, получившие доступ к персональным данным, обязаны:

7.3.1. Знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил;

7.3.2. Не разглашать известные им персональные данные, информировать ответственного за организацию обработки персональных данных о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

7.3.3. Соблюдать Правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

7.3.4. Обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.

7.4. При обработке персональных данных уполномоченным лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных, если иное не указано в согласии субъекта персональных данных или установлено законодательством Российской Федерации, запрещается:

7.4.1. Использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях.

7.4.2. Передавать персональные данные по незащищенным каналам связи без использования сертифицированных средств криптографической защиты информации.

7.4.3. Снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные в неслужебных целях.

7.4.4. Выполнять за пределами служебного помещения работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их обработки и хранения.

7.4.5. Передавать сведения, содержащие персональные данные, третьим лицам в неслужебных целях.

8. Права и обязанности субъектов персональных данных

8.1. Права субъектов персональных данных, порядок и сроки обработки запросов субъектов персональных данных или их представителей устанавливаются в соответствии с Правилами рассмотрения запросов субъектов персональных данных или их представителей, утвержденными в Службе.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

8.6. Субъект персональных данных обязан:

8.6.1. Передавать в Службу достоверные, документированные персональные данные, состав которых установлен законодательством;

8.6.2. Своевременно сообщать уполномоченным лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных в Службе об изменении своих персональных данных.

9. Ответственность лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных

9.1. Лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, виновные в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации.

9.2. Проверки выполнения требований законодательства при обработке персональных данных проводятся в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, утвержденными в Службе.

10. Меры, принимаемые для защиты персональных данных

10.1. Служба для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает следующие меры:

10.1.1. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

10.1.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

10.1.3. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

10.1.4. Учет машинных носителей персональных данных;

10.1.5. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

10.1.6. Восстановление персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;

10.1.7. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

10.1.8. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.