Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение
к приказу руководителя Департамента
по делам гражданской обороны,
чрезвычайным ситуациям и пожарной
безопасности города Москвы
от 27 июня 2016 г. N 27-10-369/6
Правила
обработки персональных данных в Департаменте по делам гражданской обороны, чрезвычайным ситуациям и пожарной безопасности города Москвы
8 июня 2017 г.
I. Общие положения
1. Правила обработки персональных данных в Департаменте по делам гражданской обороны, чрезвычайным ситуациям и пожарной безопасности города Москвы (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
2. Обработка персональных данных в Департаменте по делам гражданской обороны, чрезвычайным ситуациям и пожарной безопасности города Москвы (далее - Департамент) выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в Департаменте.
3. Правила определяют политику Департамента как оператора, осуществляющего обработку персональных данных и определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
4. Правила разработаны в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (далее - Федеральный закон "О государственной гражданской службе Российской Федерации"), Федеральным законом от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции", Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации"), Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлениями Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказом Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных".
5. Субъектами персональных данных являются государственные гражданские служащие Департамента, рабочие и служащие, не являющиеся государственными гражданскими служащими Департамента (далее - гражданские служащие и работники Департамента), руководители организаций, подведомственных Департаменту (далее - подведомственные организации), граждане, претендующие на замещение вакантных должностей государственной гражданской службы города Москвы (далее - гражданской службы), рабочих и служащих, не являющихся должностями гражданской службы (далее - работников), руководителей подведомственных организаций, а также граждане и организации, обратившиеся в Департамент в связи с исполнением им государственных функций. Перечень должностей государственной гражданской службы, рабочих и служащих, не являющихся должностями государственной гражданской службы Департамента по делам гражданской обороны, чрезвычайным ситуациям и пожарной безопасности города Москвы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным приведен в приложении N 1 к Правилам.
6. Обработка персональных данных в Департаменте осуществляется с соблюдением принципов и условий, предусмотренных Правилами и законодательством Российской Федерации в области персональных данных.
II. Условия и порядок обработки персональных данных в связи с реализацией служебных или трудовых отношений
7. Персональные данные субъектов персональных данных, указанных в пункте 5 Правил, обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия в прохождении гражданской службы, содействия в выполнении осуществляемой работы, формирования кадрового резерва гражданской службы, обучения и должностного роста, учета результатов исполнения гражданскими служащими и работниками Департамента должностных обязанностей, обеспечения личной безопасности гражданских служащих и работников Департамента, руководителей подведомственных организаций и членов их семей, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции, терроризма, ведения воинского учета и исполнения государственных функций.
8. В целях, указанных в пункте 7 Правил, обрабатываются следующие категории персональных данных гражданских служащих и работников Департамента, руководителей подведомственных организаций, граждан, претендующих на замещение вакантных должностей гражданской службы и должностей работников, а также граждан, претендующих на замещение должностей руководителей подведомственных организаций:
1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) сведения о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5) вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;
6) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
7) номер контактного телефона или сведения о других способах связи;
8) реквизиты страхового свидетельства обязательного пенсионного страхования;
9) идентификационный номер налогоплательщика;
10) реквизиты страхового медицинского полиса обязательного медицинского страхования;
11) реквизиты свидетельства государственной регистрации актов гражданского состояния;
12) сведения о семейном положении, составе семьи и о близких родственниках (в том числе бывших);
13) сведения о трудовой деятельности;
14) сведения о воинском учете и реквизиты документов воинского учета;
15) сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);
16) сведения об ученой степени;
17) сведения о владении иностранными языками, уровень владения;
18) сведения об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
19) фотография;
20) сведения о прохождении гражданской службы (работы), в том числе: дата, основания поступления на гражданскую службу (работу) и назначения на должность гражданской службы, дата, основания назначения, перевода, перемещения на иную должность гражданской службы (работы), наименование замещаемых должностей гражданской службы с указанием структурных подразделений, размера денежного содержания (заработной платы), результатов аттестации на соответствие замещаемой должности гражданской службы, а также сведения о прежнем месте работы;
21) сведения, содержащиеся в служебном контракте (трудовом договоре), дополнительных соглашениях к служебному контракту (трудовому договору);
22) сведения о пребывании за границей;
23) сведения о классном чине гражданской службы Российской Федерации (дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде гражданской службы (квалификационном разряде или классном чине муниципальной службы);
24) сведения о наличии или отсутствии судимости;
25) сведения об оформленных допусках к государственной тайне;
26) сведения о государственных наградах, иных наградах и знаках отличия;
27) сведения о профессиональной переподготовке и (или) повышении квалификации;
28) сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
29) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
30) номер расчетного счета;
31) номер банковской карты;
32) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 7 Правил.
Обработка персональных данных и биометрических персональных данных (фотографий) гражданских служащих и работников Департамента, руководителей подведомственных организаций, граждан, претендующих на замещение вакантных должностей гражданской службы, работников, руководителей подведомственных организаций, осуществляется без согласия указанных граждан в рамках целей, определенных пунктом 7 Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона "О персональных данных" и положениями Федерального закона "О государственной гражданской службе Российской Федерации", Федерального закона "О противодействии коррупции", Трудовым кодексом Российской Федерации.
9. Обработка специальных категорий персональных данных гражданских служащих и работников Департамента, руководителей подведомственных организаций, граждан, претендующих на замещение вакантных должностей гражданской службы, работников и руководителей подведомственных организаций, осуществляется без согласия указанных граждан в рамках целей, определенных пунктом 7 Правил, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона "О персональных данных" и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных у третьей стороны.
10. Обработка персональных данных гражданских служащих и работников Департамента, руководителей подведомственных организаций, граждан, претендующих на замещение вакантных должностей гражданской службы, работников, руководителей подведомственных организаций, осуществляется при условии получения согласия указанных граждан в следующих случаях:
1) при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о государственной гражданской службе и Трудовым кодексом Российской Федерации;
2) при трансграничной передаче персональных данных;
3) при принятии решений, порождающих юридические последствия в отношении указанных граждан или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
11. В случаях, предусмотренных пунктом 10 Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных". Типовая форма Согласия на обработку персональных данных государственного гражданского служащего (работника) Департамента по делам гражданской обороны, чрезвычайным ситуациям и пожарной безопасности города Москвы приведена в приложении N 2 к Правилам.
Пункт 12 изменен с 8 июня 2017 г. - Приказ Департамента по делам гражданской обороны, чрезвычайным ситуациям и пожарной безопасности г. Москвы от 8 июня 2017 г. N 27-10-371/7
12. Обработка персональных данных гражданских служащих и работников Департамента, руководителей подведомственных организаций, граждан, претендующих на замещение вакантных должностей гражданской службы, работников, руководителей подведомственных организаций, осуществляется отделом государственной службы и кадров и Службой обеспечения кадровой работы Департамента (далее - кадровый орган), отделом бухгалтерского учета. Службой обеспечения финансово-экономической деятельности, отделом собственной безопасности и противодействия коррупции и Вторым отделом Департамента и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
13. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных гражданских служащих и работников Департамента, руководителей подведомственных организаций, граждан, претендующих на замещение вакантных должностей гражданской службы, работников, руководителей подведомственных организаций, осуществляется путем:
1) непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка, анкета, иные документы, предоставляемые в кадровый орган и Второй отдел Департамента);
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе кадровой работы;
Подпункт 5 изменен с 8 июня 2017 г. - Приказ Департамента по делам гражданской обороны, чрезвычайным ситуациям и пожарной безопасности г. Москвы от 8 июня 2017 г. N 27-10-371/7
5) внесения персональных данных в информационные системы Департамента, используемые кадровым органом, отделом бухгалтерского учета. Службой обеспечения финансово-экономической деятельности и Вторым отделом Департамента.
14. В случае возникновения необходимости получения персональных данных гражданских служащих и работников Департамента, руководителей подведомственных организаций у третьей стороны следует известить об этом гражданских служащих и работников Департамента, руководителей подведомственных организаций, заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.
15. Запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего, руководителя подведомственной организации персональные данные, не предусмотренные пунктом 8 Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
16. При сборе персональных данных гражданский служащий (работник) кадрового органа (далее - гражданский служащий (работник) кадрового органа), осуществляющий сбор (получение) персональных данных непосредственно от гражданских служащих и работников Департамента, руководителей подведомственных организаций, граждан, претендующих на замещение вакантных должностей гражданской службы, а также граждан, претендующих на замещение должностей руководителей подведомственных организаций, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные. Типовая форма разъяснения субъекту персональных данных юридических последствий отказа в предоставлении своих персональных данных приведена в приложении N 3 к Правилам.
17. Передача (распространение, предоставление) и использование персональных данных гражданских служащих и работников Департамента, руководителей подведомственных организаций, граждан, претендующих на замещение вакантных должностей гражданской службы, работников, руководителей подведомственных организаций, осуществляется лишь в случаях и порядке, предусмотренных законодательством Российской Федерации.
18. При приёме на работу гражданский служащий (работник) Департамента подписывает обязательство в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, приложение N 4 к Правилам.
III. Условия и порядок обработки персональных данных, необходимых в связи с исполнением государственных функций
19. В Департаменте обработка персональных данных граждан и организаций, обратившихся в Департамент, осуществляется в том числе, в целях исполнения государственных функций.
20. Персональные данные граждан, обратившихся в Департамент лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением граждан о результатах рассмотрения.
В соответствии с законодательством Российской Федерации в Департаменте подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан, лиц без гражданства, а также обращения организаций.
21. При рассмотрении обращений граждан Российской Федерации, иностранных граждан, лиц без гражданства подлежат обработке их следующие персональные данные:
1) фамилия, имя, отчество (последнее при наличии);
2) почтовый адрес;
3) адрес электронной почты;
4) указанный в обращении контактный телефон;
5) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема граждан или в процессе рассмотрения обращения.
22. Обработка персональных данных, необходимых в связи с исполнением государственных функций, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных", Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации", постановлением Правительства Российской Федерации от 22 декабря 2011 г. N 1091 "О некоторых вопросах аттестации аварийно-спасательных формирований, спасателей и граждан, приобретающих статус спасателей" и иными нормативными правовыми актами, определяющими исполнение государственных функций в установленной сфере ведения Департамента.
23. Обработка персональных данных, необходимых в связи с исполнением государственных функций, осуществляется структурными подразделениями Департамента, исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
24. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, необходимых в связи с исполнением государственных функций, осуществляется непосредственно от субъектов персональных данных путем:
1) получения подлинников документов, необходимых исполнения государственных функций, в том числе заявления;
2) заверения необходимых копий документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) внесения персональных данных в прикладные программные подсистемы соответствующей информационной системы персональных данных Департамента.
25. При обработке персональных данных, необходимых в связи с исполнением государственных функций, запрещается запрашивать у субъектов персональных данных и третьих лиц персональные данные в случаях, не предусмотренных законодательством Российской Федерации.
26. При сборе персональных данных государственный гражданский служащий (работник) структурного подразделения Департамента, исполняющего государственные функции, осуществляющий получение персональных данных непосредственно от субъектов персональных данных, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
27. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных (заявителей), необходимых в связи с исполнением государственных функций, осуществляется в случаях и порядке, предусмотренных федеральными законами с согласия субъектов персональных данных (заявителей). Типовая форма такого Согласия на обработку персональных данных приведена в приложении N 5 к Правилам.
IV. Порядок обработки персональных данных в автоматизированных информационных системах
28. Обработка персональных данных в Департаменте осуществляется в автоматизированных информационных системах персональных данных (далее - ИС ПДн), приведенных в приложении N 6 к Правилам.
29. ИС ПДн содержат персональные данные гражданских служащих и работников Департамента, руководителей подведомственных организаций, граждан, претендующих на замещение вакантных должностей гражданской службы, граждан обратившихся в Департамент в связи с исполнением им государственных функций.
Обобщенный перечень персональных данных, обрабатываемых в ИС ПДн Департамента, а также цели, сроки и правовые основания обработки приведены в приложении N 7 к Правилам.
В ИС ПДн Департамента не осуществляется:
- обработка специальных категорий персональных данных;
- трансграничная передача персональных данных.
30. Гражданским служащим Департамента, имеющим право осуществлять обработку персональных данных в автоматизированных информационных системах (далее - гражданские служащие, имеющие право осуществлять обработку персональных данных), предоставляется уникальный логин и пароль для доступа к соответствующей автоматизированной информационной системе. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами гражданских служащих, имеющих право осуществлять обработку персональных данных.
Информация может вноситься как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
31. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных информационных системах, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.
32. Сотрудник Департамента, ответственный за обеспечение функционирования ИС ПДн, должен принимать все необходимые меры по восстановлению обрабатываемых персональных данных.
33. Доступ гражданских служащих, имеющих право осуществлять обработку персональных данных, к персональным данным, находящимся в автоматизированных информационных системах, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
V. Работа с обезличенными данными
34. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
35. Обезличивание персональных данных может быть проведено с целью ведения статистического учета и отчетности, снижения ущерба от разглашения персональных данных, снижения уровня защищенности автоматизированных информационных систем, если иное не предусмотрено действующим законодательством Российской Федерации.
36. Обезличивание персональных данных осуществляется в соответствии с приказом Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных".
37. Обезличенные персональные данные не подлежат разглашению.
38. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
39. Перечень должностей государственной гражданской службы и рабочих и служащих, не являющихся должностями государственной гражданской службы Департамента по делам гражданской обороны, чрезвычайным ситуациям и пожарной безопасности города Москвы, замещение которых предусматривает ответственность за проведение мероприятий по обезличиванию обрабатываемых персональных данных приведен в приложении N 8 к Правилам.
VI. Сроки обработки и хранения персональных данных
40. В соответствии с законодательством Российской Федерации определяются и устанавливаются сроки обработки и хранения персональных данных гражданских служащих и работников Департамента, а также руководителей подведомственных организаций:
1) персональные данные, содержащиеся в приказах по личному составу (о приеме, о переводе, об увольнении, о надбавках), подлежат хранению в кадровом органе в течение двух лет с последующим формированием и передачей указанных документов в архив Департамента для хранения в установленном законодательством Российской Федерации порядке;
2) персональные данные, содержащиеся в личных делах и личных карточках гражданских служащих и работников Департамента, а также руководителей подведомственных организаций, хранятся в кадровом органе в течение десяти лет с последующим формированием и передачей указанных документов в архив Департамента для хранения в установленном законодательством Российской Федерации порядке;
3) персональные данные, содержащиеся в приказах о поощрениях, материальной помощи гражданских служащих и работников Департамента, а также руководителей подведомственных организаций, подлежат хранению в течение двух лет в кадровом органе с последующим формированием и передачей указанных документов в архив Департамента для хранения в установленном законодательством Российской Федерации порядке;
4) персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях гражданских служащих и работников Департамента, а также руководителей подведомственных организаций подлежат хранению в кадровом органе в течение пяти лет с последующим уничтожением;
5) персональные данные, содержащиеся в документах граждан, претендующих на замещение вакантных должностей гражданской службы в Департаменте, не допущенных к участию в конкурсе на замещение вакантных должностей гражданской службы в Департаменте (далее - конкурс), и кандидатов, участвовавших в конкурсе, хранятся в кадровом органе в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.
41. Сроки обработки и хранения персональных данных, предоставляемых в связи с исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
42. Персональные данные граждан, обратившихся в Департамент лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
43. Персональные данные, предоставляемые на бумажном носителе в связи с исполнением Департаментом государственных функций, хранятся на бумажных носителях в структурных подразделениях Департамента, к полномочиям которых относится обработка персональных данных в связи с исполнением государственной функции, в соответствии с утвержденными положениями о соответствующих структурных подразделениях Департамента.
44. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
45. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в целях, определенных Правилами.
46. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Департамента.
47. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения бумажных оригиналов.
VII. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
48. Кадровым органом осуществляется систематический контроль, выделение и передача в Первый отдел Департамента подлежащих уничтожению документов, содержащих персональные данные с истекшими сроками хранения.
При передаче документов (носителей ПДн), с оставляется акт о выделении документов (носителей ПДн) к уничтожению, опись уничтожаемых дел (носителей ПДн), проверяется их комплектность, акт подписывается ответственным за организацию обработки персональных данных в Департаменте, работниками кадрового органа и Первого отдела Департамента.
49. Форма акта о выделении документов (носителей ПДн) к уничтожению приведена в приложении N 9 к Правилам.
VIII. Правила рассмотрения запросов субъектов персональных данных или их представителей
50. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных в Департаменте;
2) правовые основания и цели обработки персональных данных;
3) применяемые в Департаменте способы обработки персональных данных;
4) наименование и место нахождения Департамента, сведения о гражданах (за исключением гражданских служащих Департамента), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Департаментом или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения в Департаменте;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
8) сведения об осуществленной или предполагаемой трансграничной передаче персональных данных;
9) наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Департамента, если обработка поручена или будет поручена такой организации или лицу;
10) иную информацию, предусмотренную законодательством Российской Федерации в области персональных данных.
51. Субъекты персональных данных вправе требовать от Департамента уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
52. Информация, предусмотренная пунктом 50 Правил, должна быть предоставлена субъекту персональных данных оператором в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
53. Информация, предусмотренная пунктом 50 Правил, предоставляется субъекту персональных данных или его представителю гражданским служащим или работником структурного подразделения Департамента, осуществляющего обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя, содержащего:
1) номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование органа, выдавшего его;
2) информацию, подтверждающую участие субъекта персональных данных в правоотношениях с Департаментом (документ, подтверждающий прием документов на участие в конкурсе, документов, представляемых в целях исполнения государственных функций), либо информацию, иным образом подтверждающую факт обработки персональных данных в Департаменте, заверенную подписью субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
54. В случае, если информация, предусмотренная пунктом 50 Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных, субъект персональных данных вправе повторно обратиться в Департамент лично или направить повторный запрос в целях получения указанной информации и ознакомления с персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
55. Субъект персональных данных вправе повторно обратиться в Департамент лично или направить повторный запрос в целях получения информации, предусмотренной пунктом 50 Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 54 Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 53 Правил, должен содержать обоснование направления повторного запроса.
56. Департамент (уполномоченное должностное лицо Департамента) вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 50 и 53 Правил. Такой отказ должен быть мотивированным.
57. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами (пункт 8 статьи 14 Федерального закона "О персональных данных").
IX. Порядок доступа в помещения, в которых ведется обработка персональных данных
58. Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не являющихся гражданскими служащими и работниками Департамента, уполномоченными на обработку персональных данных (далее - гражданский служащий или работник, уполномоченный на обработку персональных данных), возможно только в присутствии гражданского служащего или работника, уполномоченного на обработку персональных данных, на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных, осуществлением государственных функций.
59. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на ответственного за организацию обработки персональных данных в Департаменте и руководителя соответствующего структурного подразделения Департамента, в соответствии с утвержденным приказом руководителя Департамента Перечнем помещений Департамента по делам гражданской обороны, чрезвычайным ситуациям и пожарной безопасности города Москвы для обработки персональных данных.
X. Ответственный за организацию обработки персональных данных
60. Ответственный за организацию обработки персональных данных в Департаменте (далее - ответственный за обработку персональных данных) назначается руководителем Департамента из числа гражданских служащих Департамента, относящихся к высшей и (или) главной группе должностей категории "руководители" и по вопросам обработки персональных данных в Департаменте подчиняется непосредственно руководителю Департамента.
61. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и Правилами.
62. Ответственный за обработку персональных данных обязан:
1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Департаменте, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
2) организовывать осуществление внутреннего контроля за соблюдением гражданскими служащими (работниками), уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
3) организовывать доведение до сведения гражданских служащих (работников), уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;
4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Департамент;
5) в случае нарушения в Департаменте требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
63. Ответственный за обработку персональных данных вправе:
1) иметь доступ к информации, касающейся обработки персональных данных в Департаменте и включающей:
цели обработки персональных данных; категории обрабатываемых персональных данных; категории субъектов персональных данных, персональные данные которых обрабатываются;
правовые основания обработки персональных данных; перечень действий с персональными данными, общее описание используемых в Департаменте способов обработки персональных данных;
описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; дату начала обработки персональных данных; срок или условия прекращения обработки персональных данных; сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
2) привлекать к реализации мер, направленных на осуществление внутреннего контроля и обеспечение безопасности персональных данных, обрабатываемых в Департаменте, иных гражданских служащих и работников Департамента с возложением на них соответствующих обязанностей и закреплением ответственности.
64. Ответственный за обработку персональных данных несет ответственность за надлежащее выполнение функций по организации обработки персональных данных в Департаменте в соответствии с законодательством Российской Федерации в области персональных данных и руководствуется в своей работе Должностной инструкцией ответственного за организацию обработки персональных данных в Департаменте по делам гражданской обороны, чрезвычайным ситуациям и пожарной безопасности города Москвы, приложение N 10 к Правилам.
XI. Правила осуществления внутреннего контроля
65. Осуществление внутреннего контроля соответствия обработки персональных данных в Департаменте на предмет соответствия Федеральному закону "О персональных данных", принятым в соответствии с ним нормативным правовым актам и локальным актам Департамента проводится руководителями структурных подразделений Департамента, гражданские служащие и работники которых осуществляют обработку персональных данных либо осуществляют доступ к персональным данным и ответственным за организацию обработки персональных данных в Департаменте.
66. В случае поступления в Департамент письменного заявления о нарушениях правил обработки персональных данных в установленном порядке проводится проверка в Департаменте по факту изложенного нарушения.
XII. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
67. Гражданские служащие и работники Департамента, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, уголовную ответственность в соответствии с федеральным законодательством.
68. Работник, получивший доступ к персональным данным других работников, обязан подписать обязательство о неразглашении конфиденциальной информации в Департаменте.
69. Персональную ответственность за утрату документов или машиночитаемых носителей с персональными данными работников Департамента несет работник, допустивший их утрату (разглашение).
70. Разглашение или утрата документов, машиночитаемых носителей информации, содержащих персональные данные работника влечет за собой последствия, предусмотренные федеральным законодательством, а также договорными обязательствами между работодателем и принятым на работу работником, закрепленными служебным контрактом/трудовым договором (гражданско-правовым договором).
71. Уголовная ответственность предусмотрена за неправомерный доступ к компьютерной информации (ст. 272 УК РФ), за создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ), за нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274 УК РФ), а также за совершение деяний, предусмотренных ст. 137, 140 УК РФ.
72. Административная ответственность установлена за отказ в предоставлении информации, нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), за нарушение правил защиты информации, за незаконную деятельность в области защиты информации, за разглашение информации с ограниченным доступом (ст. 5.39, 13.11, 13.12, 13.13, 13.14 КоАП РФ).
73. Дисциплинарная ответственность применяется к лицу, в должностные (трудовые) обязанности которого входило соблюдение или обеспечение соблюдения правил работы с персональными данными. Виды дисциплинарных взысканий предусмотрены ст. 192 ТК РФ.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.