Приложение N 1. Правила обработки персональных данных в Министерстве экономики Республики Татарстан. Приказ Министерства экономики Республики Татарстан от 10.06.2024 N 120 "О мерах, направленных на реализацию требований постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями)

Приложение N 1
к приказу Министерства экономики
Республики Татарстан
от 10 июня 2024 г. N 120

Правила
обработки персональных данных в Министерстве экономики Республики Татарстан

1. Общие положения

Настоящие Правила обработки персональных данных (далее - Правила) разработаны с учетом:

- статьи 86 Трудового кодекса Российской Федерации;

- Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";

- Указа Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении личного дела";

- постановления Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- постановления Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".

Настоящие Правила разработаны для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Министерства экономики Республики Татарстан (далее - Министерство), а также защиты прав и свобод граждан при обработке их персональных данных в Министерстве, в том числе право на неприкосновенность частной жизни, личную и семейную тайну, а также разъяснение ответственности должностных лиц (служащих), имеющих доступ к персональным данным, за невыполнение требований норм и правил, регулирующих обработку и защиту персональных данных.

Настоящие Правила устанавливают порядок обработки персональных данных субъектов персональных данных в Министерстве и направлены на выявление, предотвращение и профилактику нарушений законодательства Российской Федерации в сфере персональных данных.

Настоящие Правила определяют необходимый минимальный объём мер, соблюдение которых позволяет предотвратить утечку сведений, относящихся к персональным данным. При необходимости могут быть введены дополнительные меры, направленные на усиление защиты персональных данных.

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только те персональные данные, которые отвечают целям их обработки и не должны быть избыточными по отношению к заявленным целям.

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

В случаях, предусмотренных действующим законодательством, сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего, его супруги (супруга) и несовершеннолетних детей могут размещаться на официальном сайте Министерства или предоставляться региональным средствам массовой информации по их запросам для последующего опубликования.

Порядок регистрации, учёта, оформления, тиражирования, хранения, использования и уничтожения документов и других материальных носителей персональных данных определяют законодательство Российской Федерации об обработке и защите персональных данных, а также действующие нормативные правовые акты Министерства.

Министерство является оператором персональных данных субъектов, указанных в настоящем документе. На основании соглашения (договора) Министерство вправе поручать обработку персональных данных третьим лицам с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение Министерства). Лицо, осуществляющее обработку персональных данных по поручению Министерства, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ (далее - Федеральный закон N 152-ФЗ), соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ. В поручении Министерства должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона N 152-ФЗ, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со статьей 6 Федерального закона N 152-ФЗ, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона N 152-ФЗ, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона N 152-ФЗ.

Лицо, осуществляющее обработку персональных данных по поручению Министерства, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

В случаях, когда Министерство поручает обработку персональных данных третьему лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Министерство. Лицо, осуществляющее обработку персональных данных по поручению Министерства, несет ответственность перед Министерством.

Сотрудники Министерства и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом в сфере защиты персональных данных.

Министерство не создает общедоступные источники персональных данных.

Обработка персональных данных прекращается при реорганизации или ликвидации Министерства.

2. Понятия и определения

В настоящих Правилах используются следующие основные понятия:

персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом "О персональных данных";

субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

обработка персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

доступ к информации - возможность получения информации и ее использования;

технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

база данных персональных данных - представленная в объективной форме совокупность материалов, систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ПК;

уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

3. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных

К процедурам, направленным на предотвращение и выявление нарушений законодательства Российской Федерации в области обработки персональных данных и устранение таких нарушений, относятся:

- издание локальных актов по вопросам обработки и защиты персональных данных;

- назначение ответственного за организацию обработки персональных данных при их обработке в Министерстве;

- определение лиц, уполномоченных на обработку персональных данных Министерства и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима обработки персональных данных;

- ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Министерства в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучение указанных сотрудников;

- получение согласий на обработку персональных данных у субъектов персональных данных (их законных представителей) за исключением случаев, предусмотренных Федеральным законом "О персональных данных";

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Министерства в отношении обработки персональных данных, локальным актам Министерства;

- опубликование на официальном сайте Министерства документов, определяющих политику Министерства в отношении обработки персональных данных, реализуемые требования к защите персональных данных;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с требованиями Федерального закона "О персональных данных".

Обеспечение безопасности персональных данных достигается:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4. Цели обработки персональных данных

Целями обработки персональных данных являются:

обеспечение соблюдения законодательства Российской Федерации в связи с оказанием государственных услуг и осуществлением государственных функций;

соблюдение порядка и правил приема на работу, установленных Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", Законом Республики Татарстан от 16 января 2003 года N 3-ЗРТ "О государственной гражданской службе Республики Татарстан";

заполнение и использование базы данных автоматизированной информационной системы бухгалтерского учета, персонифицированного учета, налогового учета в целях повышения эффективности, быстрого поиска, формирования отчетов.

Субъектами, персональные данные которых обрабатываются для указанных целей, являются государственные служащие и другие работники, принимаемые по служебному контракту и трудовому договору, а также заявители, обратившиеся за предоставлением государственных услуг или получением государственной поддержки, оказываемой субъектам малого и среднего предпринимательства.

5. Правила обработки персональных данных

Обработка персональных данных осуществляется Министерством в соответствии со следующими принципами:

- обработка персональных данных осуществляется на законной и справедливой основе;

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;

- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; Министерство принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Субъект персональных данных принимает решение о предоставлении своих персональных данных и даёт согласие на их обработку своей волей и в своём интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Министерство вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона N 152-ФЗ.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Министерством.

В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Персональные данные могут быть получены Министерством от лица, не являющегося субъектом персональных данных, при условии предоставления Министерством подтверждения наличия оснований, указанных в Федеральном законе N 152-ФЗ.

Персональные данные субъектов Министерства обрабатываются в структурных подразделениях в соответствии с исполняемыми ими функциями и обязанностями.

Доступ к персональным данным, обрабатываемым без использования средств автоматизации, осуществляется в соответствии со списком допущенных лиц, утверждённом в порядке, определяемом в Министерстве.

Доступ к персональным данным, обрабатываемым в информационных системах персональных данных, осуществляется в соответствии со списком допущенных лиц, утверждённом в порядке, определяемом в Министерстве.

Уполномоченные лица, допущенные к персональным данным субъектов Министерства, имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностными обязанностями указанных лиц.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники Министерства или лица, осуществляющие такую обработку по договору с Министерством), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Министерством без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является сотрудник. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Хранение персональных данных сотрудников Министерства может осуществляться на бумажных и машинных носителях, доступ к которым ограничен списком лиц, допущенных к обработке персональных данных.

Все машинные носители персональных данных подлежат строгому учету. Персональные данные сотрудников, содержащиеся на машинных носителях информации, могут храниться на автоматизированных рабочих местах и серверах информационных систем Министерства.

Персональные данные сотрудников, содержащиеся на материальных носителях персональных данных, должны храниться в пределах помещений.

В отделе государственной службы и кадров: персональные данные работников хранятся на бумажных носителях в личных делах, личных карточках (форма Т-2, Т-2ГС) и других учетных формах;

личные дела и личные карточки уволенных работников хранятся в течение установленного срока с дальнейшей их передачей в архив Министерства;

трудовые книжки работников хранятся в сейфе, доступ к которому имеют только начальник и специалисты отдела государственной службы и кадров, отвечающие за ведение трудовых книжек;

сведения о персональных данных работников хранятся на электронных носителях (персональных компьютерах) при обязательном обеспечении их защиты от несанкционированного доступа и копирования.

Также сведения о персональных данных государственных гражданских служащих хранятся в государственной информационной системе Республики Татарстан "Единая информационная система кадрового состава государственной гражданской службы Республики Татарстан и муниципальной службы в Республике Татарстан", их размещение осуществляется сотрудниками отдела государственной службы и кадров посредством защищенного удаленного доступа к данной информационной системе.

В отделе финансового учета и отчетности хранятся персональные данные, необходимые для исчисления заработной платы, уплаты НДФЛ и страховых взносов, на бумажных носителях и в электронной базе соответствующей программы.

При расчете заработной платы используются следующие персональные данные работников:

сведения, содержащиеся в документе, удостоверяющем личность сотрудника;

информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;

сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации (ИНН);

сведения, содержащиеся в личной карточке (форма ОКУД 0504417).

В секторе мобилизационной подготовки на бумажных и электронных носителях хранятся персональные данные, связанные с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности связано с использованием таких сведений, а также данные, связанные с необходимостью оперативного оповещения сотрудников Министерства в целях служебной необходимости.

В отделе лицензирования хранятся персональные данные, необходимые для предоставления государственной услуги по лицензированию деятельности по заготовке, хранению, переработке и реализации лома черных металлов, цветных металлов.

При предоставлении услуги используются следующие персональные данные:

сведения, содержащиеся в документе, удостоверяющем личность;

сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации (ИНН);

сведения, содержащиеся в свидетельстве о внесении записи в Единый государственный реестр индивидуальных предпринимателей (ОГРНИП);

сведения, содержащиеся в документах о профессиональном образовании.

В отделе развития отраслей экономики и социальной сферы хранятся персональные данные, связанные с предоставлением в рамках конкурса субсидий социально ориентированным некоммерческим организациям из бюджета Республики Татарстан.

В отделе реализации мер финансовой и нефинансовой поддержки хранятся персональные данные, связанные с предоставлением субсидий субъектам малого и среднего предпринимательства.

Персональные данные сотрудников, содержащиеся на материальных носителях персональных данных, должны храниться в пределах помещений, утвержденных локальным актом Министерства.

Хранение персональных данных сотрудников должно происходить в порядке, исключающем их утрату или их неправомерное использование.

Использование персональных данных сотрудников Министерства осуществляется Министерством исключительно в целях выполнения требований трудового законодательства Российской Федерации.

Передача персональных данных сотрудников между структурными подразделениями Министерства осуществляется только между сотрудниками, включенными в перечень лиц, имеющих доступ к персональным данным.

Обработка персональных данных сотрудников должна осуществляться только в пределах помещений Министерства и с использованием средств вычислительной техники Министерства.

Персональные данные могут подлежать блокированию, уточнению, уничтожению либо обезличиванию в одном из следующих случаев:

1) выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных;

2) выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных;

3) выявления неправомерной обработки персональных данных, осуществляемой Министерством или лицом, действующим по поручению Министерства, и невозможности обеспечить правомерную обработку персональных данных;

4) достижения целей обработки или в случае утраты необходимости в их достижении;

5) отзыва согласия субъекта персональных данных на обработку его персональных данных;

6) представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными, неактуальными (устаревшими), незаконно полученными или не являются необходимыми для заявленной цели обработки.

В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Министерство осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его законного представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Министерство осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Министерство на основании сведений, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой Министерством или лицом, действующим по поручению Министерства, Министерство в срок, не превышающий 3-х рабочих дней с даты этого выявления, осуществляет прекращение неправомерной обработки персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Министерства.

В случае, если обеспечить правомерность обработки персональных данных невозможно, Министерство в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, осуществляет уничтожение таких персональных данных или обеспечивает их уничтожение. Решение о неправомерности обработки персональных данных и необходимости уничтожения персональных данных принимает ответственный за организацию обработки персональных данных, который доводит соответствующую информацию до руководства. Об устранении допущенных нарушений или об уничтожении персональных данных Министерство уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение субъекта персональных данных или его законного представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Министерство обязано с момента выявления такого инцидента Министерством, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Министерством на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Уничтожение персональных данных осуществляется Комиссией в следующих случаях:

- по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, истечении срока обработки и хранения персональных данных. Сроки обработки и хранения персональных данных определены локальным актом Министерства;

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных:

- в случае выявления неправомерной обработки персональных данных.

В случае достижения цели обработки персональных данных Министерство прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Министерство не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом N 152-ФЗ или другими федеральными законами.

В случае обращения субъекта персональных данных к Министерству с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий 10 рабочих дней с даты получения Министерством соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2-11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона N 152-ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В случае выявления субъектом персональных данных, его представителем или уполномоченным органом по защите прав субъектов персональных данных неправомерной обработки персональных данных, осуществляемой Министерством или лицом, действующим по поручению Министерства, и невозможности обеспечить правомерность обработки персональных данных, Министерство в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязуется уничтожить такие персональные данные или обеспечить их уничтожение. Об уничтожении персональных данных Министерство обязуется уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Министерство прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Министерством и субъектом персональных данных либо если Министерство не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом N 152-ФЗ или другими федеральными законами.

В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Министерство осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

В целях уничтожения персональных данных в Министерстве создается комиссия по уничтожению персональных данных. Численный и персональный состав Комиссии утверждается настоящим приказом (Приложение N 1 к Правилам).

В случае необходимости уничтожения персональных данных комиссия осуществляет:

- отбор материальных носителей персональных данных, на которых зафиксированы персональные данные, подлежащие уничтожению;

- определение информационных систем персональных данных, в которых обрабатываются персональные данные, подлежащие уничтожению.

Способ уничтожения материальных носителей персональных данных определяется комиссией.

При уничтожении персональных данных, зафиксированных на материальных носителях, должны быть соблюдены следующие правила:

- уничтожение материальных носителей производится путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления информации (перед уничтожением, если носитель исправен, должно быть произведено гарантированное стирание информации на носителе). Непосредственные действия по уничтожению конкретного типа носителя должны быть достаточны для исключения возможности восстановления информации;

- уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание);

- стирание персональных данных с материального носителя производится по технологии, предусмотренной для данного типа носителя, с применением средств гарантированного уничтожения информации (допускается задействовать механизмы затирания, встроенные в сертифицированные средства защиты информации);

- бумажные и прочие сгораемые материальные носители уничтожаются путем измельчения на мелкие части, исключающего возможность последующего восстановления информации (шредирование), или термической обработки (сжигание).

При этом составляется "Акт об уничтожении персональных данных".

Акт должен содержать следующую информацию:

- наименование и адрес Министерства;

- наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению Министерства (если обработка была поручена такому (таким) лицу (лицам);

- фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены:

- фамилию, имя, отчество (при наличии) и должности лиц, входящих в состав Комиссии, а также их подписи;

- перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

- наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя;

- наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных:

- способ уничтожения персональных данных;

- причину уничтожения персональных данных;

- дату уничтожения персональных данных субъекта (субъектов) персональных данных.

Форма Акта об уничтожении персональных данных приведена в Приложении N 2 к настоящим Правилам.

В случае уничтожения персональных данных из информационной системы персональных данных дополнительным документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - Выгрузка из журнала).

Выгрузка из журнала должна содержать следующую информацию:

- фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

- перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

- наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;

- причину уничтожения персональных данных;

- дату уничтожения персональных данных субъекта (субъектов) персональных данных.

В случае если Выгрузка из журнала не позволяет указать отдельные сведения, указанные в пунктах об уничтожении персональных данных настоящих Правил, недостающие сведения вносятся в Акт.

Комиссия обеспечивает хранение документов, подтверждающих уничтожение персональных данных, в течение трех лет с момента уничтожения персональных данных.

При уничтожении персональных данных из информационных систем персональных данных должны быть соблюдены следующие правила:

- удаление персональных данных из информационной системы персональных данных должно производится способом, исключающим возможность восстановления удаленных персональных данных;

- удаление персональных данных конкретного субъекта из информационной системы персональных данных не должно привести к изменению или удалению персональных данных другого субъекта персональных данных.

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Министерством для установления личности субъекта персональных данных, Министерством не обрабатываются.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не производится.

Обработка иных категорий персональных данных осуществляется Министерством с соблюдением следующих условий:

- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.

6. Правила обработки персональных данных с использованием средств автоматизации, содержание персональных данных

Обработка персональных данных в Министерстве осуществляется:

1) в ГИС РТ Бухгалтерский учет и отчетность государственных органов Республики Татарстан и подведомственных им учреждений, включающей:

фамилию, имя, отчество (при наличии) субъекта персональных данных;

дату рождения субъекта персональных данных;

место рождения субъекта персональных данных;

серию и номер основного документа, удостоверяющего личность субъекта персональных данных;

сведения о дате выдачи указанного документа и выдавшем его органе;

адрес по прописке субъекта персональных данных;

адрес для информирования субъекта персональных данных;

адрес места жительства субъекта персональных данных;

ИНН субъекта персональных данных;

табельный номер субъекта персональных данных;

должность субъекта персональных данных;

номер приказа и дату приема на работу (увольнения) субъекта персональных данных;

номер страхового свидетельства государственного пенсионного страхования субъекта персональных данных;

инвалидность;

сведения о начислениях субъекта персональных данных;

сведения о лицевых (банковских) счетах субъекта персональных данных для перевода начислений.

2) В Информационной системе ТАКСНЕТ - РЕФЕРЕНТ для передачи сведений:

а) В МРИ ФНС N 14 по Республике Татарстан сведений по налогу на доходы физических лиц, включающей:

фамилию, имя, отчество (при наличии) субъекта персональных данных;

дату рождения субъекта персональных данных;

гражданство;

ИНН субъекта персональных данных;

сведения о заработной плате субъекта персональных данных.

б) В отделение Социального фонда России сведения о сумме выплат и иных вознаграждений и страховом стаже застрахованного лица, включающей:

фамилию, имя, отчество (при наличии) субъекта персональных данных;

номер страхового свидетельства государственного пенсионного страхования субъекта персональных данных;

сведения о сумме выплат и иных вознаграждений, начисленных в пользу субъекта персональных данных.

3) В Информационной системе "Контур.Экстерн" Проактивное назначение страхового обеспечения" для передачи сведений для назначения и выплаты застрахованным лицам соответствующих видов пособий в отделение Социального фонда России, включающей:

фамилию, имя, отчество (при наличии) субъекта персональных данных;

дату рождения субъекта персональных данных;

адрес регистрации;

адрес места жительства (пребывания) субъекта персональных данных;

ИНН субъекта персональных данных;

номер страхового свидетельства государственного пенсионного страхования субъекта персональных данных;

серию и номер основного документа, удостоверяющего личность субъекта персональных данных;

сведения о дате выдачи указанного документа и выдавшем его органе;

фамилия, имя, отчество (при наличии) ребенка (детей), за которым осуществляется уход, с отметкой об очередности рождения (усыновления), реквизиты свидетельств о рождении;

сведения о заработной плате субъекта персональных данных для исчисления пособия;

сведения о лицевых (банковских) счетах субъекта персональных данных для перевода начислений.

4) В Единой информационной системе кадрового состава государственной гражданской службы Республики Татарстан и муниципальной службы в Республике Татарстан, включающей:

фамилию, имя, отчество (при наличии) субъекта персональных данных;

пол субъекта персональных данных;

дату рождения субъекта персональных данных;

место рождения субъекта персональных данных;

гражданство субъекта персональных данных;

серию и номер основного документа, удостоверяющего личность субъекта персональных данных;

сведения о дате выдачи указанного документа и выдавшем его органе;

сведения о воинском учете субъекта персональных данных;

СНИЛС субъекта персональных данных;

номер медицинского полиса субъекта персональных данных;

ИНН субъекта персональных данных;

адрес регистрации субъекта персональных данных;

адрес места жительства субъекта персональных данных;

номер телефона мобильного, домашнего, рабочего (при наличии) субъекта персональных данных;

сведения о наличии/отсутствии инвалидности у субъекта персональных данных;

сведения об имеющемся образовании профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются) субъекта персональных данных;

должность субъекта персональных данных;

номер приказа и дату приема на работу (увольнения) субъекта персональных данных, о переводе субъекта персональных данных или на иную должность, о временном замещении им иной должности или должности государственной службы;

сведения, содержащиеся в трудовой книжке и (или) сведениях о трудовой деятельности, полученные в установленном статьей 66.1 Трудового кодекса Российской Федерации порядке, а также копии документов, подтверждающих прохождение военной или иной службы субъекта персональных данных;

сведения о служебном контракте или трудовом договоре, дополнительных соглашениях, которыми оформляются изменения и дополнения, внесенные в служебный контракт или трудовой договор субъекта персональных данных;

сведения о прохождении конкурса на замещение вакантной должности государственной службы (если гражданин назначен на должность по результатам конкурса) субъекта персональных данных;

сведения об аттестации субъекта персональных данных;

сведения о прохождении диспансеризации субъекта персональных данных;

сведения о предоставлении различных видов отпусков субъекта персональных данных;

сведения о присвоении субъекту персональных данных классного чина;

сведения о включении субъекта персональных данных в кадровый резерв, а также об исключении его из кадрового резерва;

сведения о поощрении, а также о наложении на него дисциплинарного взыскания до его снятия или отмены субъекта персональных данных;

сведения о служебной проверке субъекта персональных данных;

сведения о наличии допуска к сведениям, составляющим государственную или иную охраняемую законом тайну субъекта персональных данных;

сведения о доходах, имуществе и обязательствах имущественного характера субъекта персональных данных;

сведения о членстве в профсоюзе субъекта персональных данных;

сведения о национальности субъекта персональных данных;

сведения о родном языке субъекта персональных данных, о знании иностранных языков и степени владения ими;

сведения о семейном положении субъекта персональных данных;

сведения о членах семьи субъекта персональных данных.

5) В Федеральной государственной информационной системе "Единая информационная система управления кадровым составом государственной гражданской службы Российской Федерации", включающей:

фамилию, имя, отчество (при наличии) субъекта персональных данных;

пол субъекта персональных данных;

дату рождения субъекта персональных данных;

место рождения субъекта персональных данных;

гражданство субъекта персональных данных;

серию и номер основного документа, удостоверяющего личность субъекта персональных данных;

сведения о дате выдачи указанного документа и выдавшем его органе;

сведения о воинском учете субъекта персональных данных;

СНИЛС субъекта персональных данных;

номер медицинского полиса субъекта персональных данных;

ИНН субъекта персональных данных;

адрес регистрации субъекта персональных данных;

адрес места жительства субъекта персональных данных;

номер телефона мобильного, домашнего, рабочего (при наличии) субъекта персональных данных;

сведения о наличии/отсутствии инвалидности у субъекта персональных данных;

сведения об имеющемся образовании профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются) субъекта персональных данных; должность субъекта персональных данных;

номер приказа и дату приема на работу (увольнения) субъекта персональных данных, о переводе субъекта персональных данных или на иную должность, о временном замещении им иной должности или должности государственной службы;

сведения, содержащиеся в трудовой книжке и (или) сведениях о трудовой деятельности, полученные в установленном статьей 66.1 Трудового кодекса Российской Федерации порядке, а также копии документов, подтверждающих прохождение военной или иной службы субъекта персональных данных;

сведения о служебном контракте или трудовом договоре, дополнительных соглашениях, которыми оформляются изменения и дополнения, внесенные в служебный контракт или трудовой договор субъекта персональных данных;

сведения о прохождении конкурса на замещение вакантной должности государственной службы (если гражданин назначен на должность по результатам конкурса) субъекта персональных данных;

сведения об аттестации субъекта персональных данных;

сведения о прохождении диспансеризации субъекта персональных данных;

сведения о предоставлении различных видов отпусков субъекта персональных данных;

сведения о присвоении субъекту персональных данных классного чина;

сведения о включении субъекта персональных данных в кадровый резерв, а также об исключении его из кадрового резерва;

сведения о поощрении, а также о наложении на него дисциплинарного взыскания до его снятия или отмены субъекта персональных данных;

сведения о служебной проверке субъекта персональных данных;

сведения о наличии допуска к сведениям, составляющим государственную или иную охраняемую законом тайну субъекта персональных данных;

сведения о доходах, имуществе и обязательствах имущественного характера субъекта персональных данных;

сведения о членстве в профсоюзе субъекта персональных данных;

сведения о национальности субъекта персональных данных;

сведения о родном языке субъекта персональных данных, о знании иностранных языков и степени владения ими;

сведения о семейном положении субъекта персональных данных;

сведения о членах семьи субъекта персональных данных.

6) В Региональной системе межведомственного электронного взаимодействия для проведения антикоррупционной проверки, включающей:

фамилию, имя, отчество (при наличии) субъекта персональных данных;

место рождения субъекта персональных данных;

дата рождения субъекта персональных данных;

адрес по прописке субъекта персональных данных;

ИНН субъекта персональных данных;

СНИЛС субъекта персональных данных.

7) В Федеральной государственной информационной системе "Типовое облачное решение по автоматизации контрольной (надзорной) деятельности" для предоставления государственной услуги по лицензированию деятельности по заготовке, хранению, переработке и реализации лома черных металлов, цветных металлов, включающей:

фамилию, имя, отчество (при наличии) субъекта персональных данных;

серию и номер основного документа, удостоверяющего личность субъекта персональных данных;

сведения о дате выдачи указанного документа и выдавшем его органе;

адрес регистрации субъекта персональных данных;

ИНН субъекта персональных данных;

ОГРНИП субъекта персональных данных;

номер телефона;

адрес электронной почты;

сведения, содержащиеся в документах о профессиональном образовании.

8) В Региональной системе межведомственного электронного взаимодействия для предоставления государственной услуги по лицензированию деятельности по заготовке, хранению, переработке и реализации лома черных металлов, цветных металлов, включающей:

фамилию, имя, отчество (при наличии) субъекта персональных данных;

ИНН субъекта персональных данных;

ОГРНИП субъекта персональных данных.

9) В Реестре лицензий на заготовку, хранение, переработку и реализацию лома черных металлов, цветных металлов, для предоставления государственной услуги по лицензированию деятельности по заготовке, хранению, переработке и реализации лома черных металлов, цветных металлов, включающем:

фамилию, имя, отчество (при наличии) субъекта персональных данных;

серию и номер основного документа, удостоверяющего личность субъекта персональных данных;

сведения о дате выдачи указанного документа и выдавшем его органе;

адрес регистрации субъекта персональных данных;

ИНН субъекта персональных данных;

ОГРНИП субъекта персональных данных;

номер телефона;

адрес электронной почты.

10) На Портале единой автоматизированной информационной системы поддержки социально ориентированных некоммерческих организаций, включающей:

фамилию, имя, отчество (при наличии) субъекта персональных данных;

дату рождения субъекта персональных данных;

место рождения субъекта персональных данных;

серию и номер основного документа, удостоверяющего личность субъекта персональных данных;

сведения о дате выдачи указанного документа и выдавшем его органе;

адрес по прописке субъекта персональных данных;

ИНН субъекта персональных данных.

Персональные данные могут быть представлены для ознакомления:

сотрудникам, допущенным к обработке персональных данных с использованием средств автоматизации в части, касающейся исполнения их должностных обязанностей;

уполномоченным работникам органов власти в порядке, установленном законодательством Российской Федерации.

7. Порядок обработки персональных данных без использования средств автоматизации

Обработка персональных данных без использования средств автоматизации лицом осуществляется на материальных (бумажных) носителях персональных данных для целей, указанных в настоящих Правилах.

При разработке и использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество (при наличии) и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для#

Перечень персональных данных, обрабатываемых в связи с реализацией трудовых отношений, прохождения государственной гражданской службы, а также в связи с оказанием государственных услуг, осуществлением государственных функций, устанавливается приказом Министерства.

Обработка персональных данных служащих (работников) Министерства осуществляется с их письменного согласия, которое действует со дня их поступления на работу в Министерство и заканчивает свое действие в день увольнения.

Согласие работника на обработку персональных данных не требуется в следующих случаях:

обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных.

К такого рода случаям могут быть отнесены получение сведений при заключении служебного контракта (трудового договора), в процессе прохождения государственной службы - вопросы, связанные с назначением на должность, аттестацией работников и т.п., при постановке граждан на воинский учет, в ходе осуществления деятельности по пенсионному и медицинскому страхованию и т.п.

Работодатель не вправе получать и обрабатывать персональные данные служащего (работника) о его политических, религиозных, иных убеждениях, частной жизни без письменного согласия служащего (работника).

При обработке персональных данных служащих (работников) Министерства и иных лиц должны соблюдаться следующие требования:

а) объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;

б) защита персональных данных служащих (работников) Министерства и иных лиц от неправомерного их использования или уничтожения обеспечивается в порядке, установленном законодательством Российской Федерации;

в) передача персональных данных служащих (работников) Министерства и иных лиц не допускается без письменного согласия этих служащих (работников) и иных лиц, за исключением случаев, установленных законодательством Российской Федерации. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных работников Министерства и иных лиц либо отсутствует письменное согласие этих работников Министерства и иных лиц на передачу его персональных данных, Ответственное лицо отказывает в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;

г) обеспечение конфиденциальности персональных данных служащих (работников) Министерства и иных лиц, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

д) опубликование и распространение персональных данных служащих (работников) Министерства и иных лиц допускается в случаях, установленных законодательством Российской Федерации.

В соответствии со статьями 22 и 64 Федерального закона от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", Министерство вправе осуществлять обработку персональных данных:

кандидатов на замещение вакантных должностей государственной гражданской службы;

кандидатов на включение в кадровый резерв.

Министерство осуществляет обработку персональных данных без использования средств автоматизации при предоставлении:

грантов в форме субсидий субъектам малого и среднего предпринимательства, включенным в реестр социальных предпринимателей, и (или) субъектам малого и среднего предпринимательства, созданным физическими лицами в возрасте до 25 лет включительно, включающей:

полное наименование заявителя;

фамилию, имя, отчество (при наличии);

ИНН;

КПП;

ОГРН;

ОКПО;

ОКТМО;

Место нахождения юридического лица/место жительства индивидуального предпринимателя;

Фактический адрес юридического лица/индивидуального предпринимателя;

Дата государственной регистрации юридического лица/индивидуального предпринимателя;

Банковские реквизиты, в т.ч. расчетный счет, корреспондентский счет, БИК;

Номер телефона руководителя

Контактный номер телефона представителя;

адрес электронной почты;

копию свидетельства о постановке на учет в налоговом органе;

копию документа, удостоверяющего личность физического лица в возрасте до 25 лет включительно.

8. Передача персональных данных третьим лицам

При передаче персональных данных сотрудника Министерства должны быть соблюдены следующие требования:

- не сообщать персональные данные сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;

- предупреждать лица, получающие персональные данные сотрудников, о том, что эти данные могут быть использованы, лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных персональных данных;

- не сообщать персональные данные сотрудника в коммерческих целях без его письменного согласия;

- передавать персональные данные сотрудника представителям сотрудников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными сотрудника, которые необходимы для выполнения указанными представителями их функций;

- не отвечать на вопросы, связанные с передачей персональных данных сотрудника по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими сотрудниками своих непосредственных должностных обязанностей, адресатам в чью компетенцию входит получение такой информации.

Министерство вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

В целях обеспечения контроля правомерности использования переданных по запросам персональных данных лицами, их получившими, сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также состав переданной информации фиксируются в Журнале учета выданных персональных данных сотрудников Министерства экономики Республики Татарстан по запросам третьих лиц (органов прокуратуры, внутренних дел, службы судебных приставов, организаций и т.п.). Форма соответствующего журнала утверждена локальным актом Министерства.

9. Права субъектов персональных данных

В целях обеспечения своих законных интересов субъекты персональных данных или его представители имеют право:

1) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

2) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ;

3) требовать уточнение его персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъект персональных данных при отказе Министерства исключить или исправить, блокировать или уничтожить его персональные данные имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;

4) требовать от Министерства уведомления всех лиц, которым ранее были сообщены неверные или неполные, устаревшие, неточные, незаконно полученные или не являющиеся необходимыми для заявленной цели обработки персональные данные субъекта, обо всех произведённых в них изменениях или исключениях из них, в том числе блокирование или уничтожение этих данных третьими лицами;

5) обжаловать в суде или в уполномоченном органе по защите прав субъектов персональных данных любые неправомерные действия или бездействие Министерства при обработке и защите персональных данных субъекта персональных данных, если субъект персональных данных считает, что Министерство осуществляет обработку его персональных данных с нарушением требований Федерального закона N 152-ФЗ или иным образом нарушает его права и свободы.

В случае, если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Министерстве или направить ему повторный запрос в целях получения сведений, и ознакомления с персональными данными не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Субъект персональных данных вправе обратиться повторно до истечения 30 дневного срока в случае, если сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

Министерство вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренные частями 4 и 5 статьи 14 Федерального закона N 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Министерстве.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.

10. Порядок действий в случае запросов надзорных органов

В соответствии с частью 4 статьи 20 Федерального закона N 152 Министерство обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных в Министерство при необходимости с привлечением служащих (работников) Министерства.

В течение установленного законодательством срока ответственный за организацию обработки персональных данных в Министерстве подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.

11. Защита персональных данных субъекта

Защиту персональных данных субъектов от неправомерного их использования или утраты Министерство обеспечивает за счёт собственных средств в порядке, установленном законодательством Российской Федерации.

При обработке персональных данных должны быть приняты необходимые организационные и технические меры по обеспечению их конфиденциальности.

Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:

1) руководящим документом ФСТЭК России - "Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Утверждены приказом ФСТЭК России N 21 от 18 февраля 2013 года;

2) руководящим документом ФСТЭК России - "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Утверждены приказом ФСТЭК России N 17 от 11 февраля 2013 года;

3) специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002 года N 282;

4) внутренними документами Министерства, действующими в сфере обеспечения информационной безопасности.

Защита персональных данных предусматривает ограничение к ним доступа.

Ответственные за организацию обработки персональных данных, администрирование средств и механизмов защиты, техническое обслуживание информационных систем персональных данных назначаются приказом Министерства.

Руководитель структурного подразделения (отдела) Министерства осуществляющего обработку персональных данных:

1) несёт ответственность за организацию защиты персональных данных в структурном подразделении;

2) закрепляет за работниками, уполномоченными обрабатывать персональные данные, конкретные материальные носители, на которых допускается хранение персональных данных в случае, если такие носители необходимы для выполнения возложенных на работников функций и задач;

3) организовывает изучение подчинёнными работниками, в чьи обязанности входит обработка персональных данных, нормативных правовых актов по защите персональных данных и требует их неукоснительного исполнения;

4) обеспечивает режим конфиденциальности в отношении персональных данных, обрабатываемых в структурном подразделении (отделе);

5) контролирует порядок доступа к персональным данным в соответствии с функциональными обязанностями работников подразделения.

Служащие (работники), допущенные к персональным данным, дают письменное обязательство о неразглашении таких данных.

12. Обязанности лиц, допущенных к обработке персональных данных

Лица, допущенные к работе с персональными данными, обязаны:

1) знать законодательство Российской Федерации в области обработки и защиты персональных данных, нормативные документы Министерства по обработке и защите персональных данных;

2) сохранять конфиденциальность персональных данных;

3) обеспечивать сохранность закреплённых за ними носителей персональных данных;

4) контролировать срок истечения действия согласий на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки персональных данных;

5) докладывать своему непосредственному руководителю структурного подразделения обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.

Ответственный за организацию обработки персональных данных Министерства организует проведение инструктажа и ознакомление служащих (работников) Министерства, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Министерства в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

13. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъектов

Лица, виновные в нарушении требований Федерального закона "О персональных данных", несут предусмотренную законодательством Российской Федерации ответственность.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом "О персональных данных", а также требований к защите персональных данных, установленных в соответствии с Федеральным законом "О персональных данных", подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.