Приложение 1. Правила обработки персональных данных субъектов персональных данных в департаменте развития бизнеса и внешнеэкономической деятельности Краснодарского края. Приказ департамента развития бизнеса и внешнеэкономической деятельности Краснодарского края от 04.07.2024 N 246 "О мерах, направленных на реализацию требований постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"

Приложение 1

УТВЕРЖДЕНЫ
приказом департамента развития
бизнеса и внешнеэкономической
деятельности Краснодарского края
от 04.07.2024 N 246

Правила
обработки персональных данных субъектов персональных данных в департаменте развития бизнеса и внешнеэкономической деятельности Краснодарского края

1. Основные понятия

1.1. В настоящих Правилах обработки персональных данных субъектов персональных данных в департаменте развития бизнеса и внешнеэкономической деятельности Краснодарского края (далее - Правила) используются следующие понятия:

безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действия с ней с применением штатных средств информационной системы или средств, аналогичных им по функциональному предназначению и техническим характеристикам;

технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.) средства защиты информации;

угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

1.2. Остальные основные понятия определены Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).

2. Общие положения

2.1. Настоящие Правила разработаны для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных департамента развития бизнеса и внешнеэкономической деятельности Краснодарского края (далее - департамент), а также защиты прав и свобод граждан при обработке их персональных данных в департаменте, в том числе право на неприкосновенность частной жизни, личную и семейную тайну, а также разъяснение ответственности должностных лиц, имеющих доступ к персональным данным (далее - ПДн) субъектов ПДн, за невыполнение требований норм и правил, регулирующих обработку и защиту ПДн в департаменте.

2.2. Настоящие Правила устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн в департаменте, а также определяют для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

2.3. Субъектами ПДн в департаменте являются:

1) государственные гражданские служащие Краснодарского края в департаменте (далее - служащие департамента);

2) уволившиеся (уволенные) служащие департамента;

3) кандидаты на замещение вакантных должностей в департаменте;

4) кандидаты на включение в кадровый резерв департамента;

5) граждане, состоящие в родстве (свойстве) с субъектами ПДн, указанными в подпунктах 1 - 4 данного пункта, в случаях, предусмотренных законодательством Российской Федерации;

6) граждане, представляемые к награждению, наградные материалы по которым представлены в департамент;

7) независимые эксперты, включаемые в составы аттестационной и конкурсной комиссий департамента;

8) граждане, обратившиеся в департамент в соответствии с Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

9) лица, обработка персональных данных которых осуществляется в связи с предоставлением государственных услуг и исполнением государственных функций;

10) лица, имеющие непогашенную задолженность перед бюджетом Краснодарского края, в лице департамента;

11) лица, обработка персональных данных которых осуществляется в связи с исполнением государственного контракта;

12) лица, обработка персональных данных которых осуществляется в связи с подготовкой, заключением, исполнением и прекращением гражданско-правовых договоров (соглашений);

13) иностранные лица, прибывшие в Краснодарский край в рамках проведения приемов иностранных граждан (делегаций) в органах исполнительной власти Краснодарского края.

2.4. Настоящие Правила определяют меры, соблюдение которых позволяет предотвратить утечку сведений, относящихся к ПДн.

2.5. Настоящие Правила разработаны в соответствии со следующими нормативными правовыми актами Российской Федерации:

1) Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 г., ратифицированная Федеральным законом Российской Федерации от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных";

2) Конституция Российской Федерации;

3) Гражданский кодекс Российской Федерации;

4) Кодекс Российской Федерации об административных правонарушениях;

5) Трудовой кодекс Российской Федерации;

6) Уголовный кодекс Российской Федерации;

7) Федеральный закон от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации";

8) Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

9) Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

10) Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении Перечня сведений конфиденциального характера";

11) постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

12) постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

13) постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

2.6. В соответствии с законодательством Российской Федерации об обработке и защите ПДн субъектов ПДн являются конфиденциальной информацией.

2.7. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Обработке подлежат только те ПДн, которые отвечают целям их обработки, они не должны быть избыточными по отношению к заявленным целям.

2.8. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.

2.9. В случаях, предусмотренных действующим законодательством, сведения о доходах, расходах, об имуществе и обязательствах имущественного характера служащего департамента, его супруги (супруга) и несовершеннолетних детей могут размещаться на официальном сайте департамента или предоставляться региональным средствам массовой информации по их запросам для последующего опубликования.

2.10. Деятельность по организации обработки и защиты ПДн в соответствии с требованиями законодательства Российской Федерации о ПДн осуществляет служащий департамента, назначенный ответственным за организацию обработки ПДн в департаменте.

2.11. Деятельность по администрированию средств и механизмов защиты осуществляет служащий департамента, назначенный администратором информационной безопасности в департаменте.

2.12. Техническое обслуживание информационных систем ПДн осуществляет служащий департамента, назначенный ответственным за техническое обслуживание информационных систем ПДн в департаменте.

2.13. Ответственный за организацию обработки ПДн, администратор информационной безопасности в департаменте и ответственный за техническое обслуживание информационных систем ПДн назначаются приказом департамента.

2.14. Регистрация, учет, оформление, тиражирование, хранение, использование, уничтожение документов и других материальных носителей ПДн осуществляется в департаменте в соответствии с законодательством Российской Федерации об обработке и защите ПДн, а также действующими правовыми актами департамента.

2.15. Департамент является оператором ПДн субъектов ПДн, указанных в настоящих Правилах. На основании соглашения (договора) департамент может поручать обработку ПДн третьим лицам с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого соглашения (договора), в том числе государственного контракта, либо путем принятия департаментом соответствующего акта (далее - поручение департамента). Лицо, осуществляющее обработку ПДн по поручению департамента, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом N 152-ФЗ. В поручении департамента должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона N 152-ФЗ, обязанность по запросу департамента в течение срока действия поручения департамента, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения департамента требований, установленных в соответствии со статьей 6 Федерального закона N 152-ФЗ, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона N 152-ФЗ, в том числе требование об уведомлении департамента о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона N 152-ФЗ.

2.16. Лицо, осуществляющее обработку ПДн по поручению департамента, не обязано получать согласие субъекта ПДн на обработку его ПДн.

2.17. В случаях, когда департамент поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет департамент. Лицо, осуществляющее обработку ПДн по поручению департамента, несет ответственность перед департаментом.

2.18. В случае, если департамент поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несет департамент и лицо, осуществляющее обработку ПДн по поручению департамента.

2.19. Департамент и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

2.20. В случаях, непосредственно связанных с вопросами трудовых отношений, департамент вправе собирать, хранить, использовать, распространять информацию о частной жизни служащих департамента только с их письменного согласия (статья 24 Конституции Российской Федерации).

2.21. В целях информационного обеспечения департамента могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги).

В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о занимаемой должности и иные ПДн, сообщаемые субъектом ПДн.

2.22. Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных органов.

2.23. Департамент не имеет права получать и обрабатывать ПДн субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.

3. Цели и содержание обработки персональных данных

3.1. Цели обработки ПДн определены Политикой департамента в отношении обработки персональных данных, утвержденной приказом департамента.

3.2. Цель "выполнение требований трудового законодательства, законодательства о государственной гражданской службе Российской Федерации и законодательства о противодействии коррупции" достигается посредством обработки ПДн следующих субъектов ПДн:

1) служащие департамента.

Категория ПДн "иные": фамилия, имя и отчество (при наличии), в том числе прежние, фотография, сведения о документе, удостоверяющем личность, дата и место рождения, пол, адрес фактического проживания, адрес регистрации по месту жительства, гражданство, семейное положение, состав семьи, страховой номер индивидуального лицевого счета (далее - СНИЛС), идентификационный номер налогоплательщика (далее - ИНН), данные заграничного паспорта, данные пенсионного удостоверения, данные полиса обязательного медицинского страхования, контактный телефон, адрес электронной почты, занимаемая должность, информация о трудовой деятельности, образование, специальность, сведения о профессиональной переподготовке и повышении квалификации, реквизиты лицевого/банковского счета, сведения о воинском учете, сведения о наличии (отсутствии) судимости, допуск к государственной тайне, знание иностранного языка, награды, поощрения, почетные звания, сведения о присвоении квалификационного разряда, классного чина, дипломатического ранга, воинского звания, социальные льготы, трудовой стаж, табельный номер, ученая степень и звание, сведения о доходах, расходах, об имуществе и обязательствах имущественного характера служащего, иные ПДн, отвечающие цели обработки ПДн или которые субъект ПДн пожелал сообщить о себе в рамках указанной цели. Объем: менее чем 100000 субъектов персональных данных;

2) уволившиеся (уволенные) служащие департамента.

Категория ПДн "иные": фамилия, имя и отчество (при наличии), в том числе прежние, фотография, сведения о документе, удостоверяющем личность, дата и место рождения, пол, адрес фактического проживания, адрес регистрации по месту жительства, гражданство, семейное положение, состав семьи, СНИЛС, ИНН, данные заграничного паспорта, данные пенсионного удостоверения, данные полиса обязательного медицинского страхования, контактный телефон, адрес электронной почты, занимаемая должность, информация о трудовой деятельности, образование, специальность, сведения о профессиональной переподготовке и повышении квалификации, реквизиты лицевого/банковского счета, сведения о воинском учете, сведения о наличии (отсутствии) судимости, допуск к государственной тайне, знание иностранного языка, награды, поощрения, почетные звания, сведения о присвоении квалификационного разряда, классного чина, дипломатического ранга, воинского звания, социальные льготы, трудовой стаж, табельный номер, ученая степень и звание, сведения о доходах, расходах, об имуществе и обязательствах имущественного характера служащего, иные ПДн, отвечающие цели обработки ПДн или которые субъект ПДн пожелал сообщить о себе в рамках указанной цели. Объем: менее чем 100000 субъектов персональных данных;

3) кандидаты на замещение вакантных должностей в департаменте.

Категория ПДн "иные": фамилия, имя и отчество (при наличии), в том числе прежние, фотография, сведения о документе, удостоверяющем личность, дата и место рождения, пол, адрес фактического проживания, адрес регистрации по месту жительства, гражданство, семейное положение, состав семьи, СНИЛС, ИНН, данные заграничного паспорта, контактный телефон, адрес электронной почты, место работы, информация о трудовой деятельности, образование, специальность, сведения о воинском учете, сведения о наличии (отсутствии) судимости, допуск к государственной тайне, знание иностранного языка, награды, поощрения, почетные звания, сведения о присвоении квалификационного разряда, классного чина, дипломатического ранга, воинского звания, социальные льготы, ученая степень и звание, иные ПДн, отвечающие цели обработки ПДн или которые субъект ПДн пожелал сообщить о себе в рамках указанной цели. Объем: менее чем 100000 субъектов персональных данных;

4) кандидаты на включение в кадровый резерв департамента.

Категория ПДн "иные": фамилия, имя и отчество (при наличии), в том числе прежние, фотография, сведения о документе, удостоверяющем личность, дата и место рождения, пол, адрес фактического проживания, адрес регистрации по месту жительства, гражданство, семейное положение, состав семьи, СНИЛС, ИНН, данные заграничного паспорта, контактный телефон, адрес электронной почты, место работы, информация о трудовой деятельности, образование, специальность, сведения о воинском учете, сведения о наличии (отсутствии) судимости, допуск к государственной тайне, знание иностранного языка, награды, поощрения, почетные звания, сведения о присвоении квалификационного разряда, классного чина, дипломатического ранга, воинского звания, социальные льготы, ученая степень и звание, иные ПДн, отвечающие цели обработки ПДн или которые субъект ПДн пожелал сообщить о себе в рамках указанной цели. Объем: менее чем 100000 субъектов персональных данных;

5) граждане, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1-4 данного пункта, в случаях, предусмотренных законодательством Российской Федерации.

Категория ПДн "иные": фамилия, имя и отчество (при наличии), в том числе прежние, адрес регистрации по месту жительства, адрес фактического проживания, гражданство, дата рождения, место работы, сведения о документе, удостоверяющем личность, степень родства и иные сведения, предусмотренные законодательством Российской Федерации. Объем: менее чем 100000 субъектов персональных данных;

6) граждане, представляемые к награждению, наградные материалы по которым представлены в департамент.

Категория ПДн "иные": фамилия, имя и отчество (при наличии), дата рождения, место рождения, сведения о документе удостоверяющим личность, адрес регистрации по месту жительства, сведения об образовании, сведения о трудовой деятельности. Объем: менее чем 100000 субъектов персональных данных;

7) независимые эксперты, включаемые в составы аттестационной и конкурсной комиссий департамента.

Категория ПДн "иные": фамилия, имя и отчество (при наличии), сведения о документе, удостоверяющем личность, адрес регистрации по месту жительства, ИНН, контактный телефон, адрес электронной почты, почтовый адрес, реквизиты лицевого/банковского счета. Объем: менее чем 100000 субъектов персональных данных.

3.3. Цель "работа с обращениями, жалобами граждан, объединений граждан, в том числе юридических лиц" достигается посредством обработки ПДн следующих субъектов ПДн:

граждане, обратившиеся в департамент в соответствии с Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".

Категория ПДн "иные": фамилия, имя, отчество (при наличии), почтовый адрес, адрес электронной почты, контактный телефон, иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения. Объем: менее чем 100000 субъектов персональных данных.

3.4. Цель "реализация полномочий и функций, установленных Положением о департаменте развития бизнеса и внешнеэкономической деятельности Краснодарского края, утвержденным постановлением Губернатора Краснодарского края от 2 октября 2023 г. N 774, и иными нормативными правовыми актами Российской Федерации и Краснодарского края, в том числе при подготовке, заключении, исполнении и прекращении гражданско-правовых договоров (соглашений, государственных контрактов)" достигается посредством обработки ПДн следующих субъектов ПДн:

1) лица, обработка персональных данных которых осуществляется в связи с предоставлением государственных услуг и исполнением государственных функций.

Категория ПДн "иные": фамилия, имя и отчество (при наличии), сведения о документе, удостоверяющем личность, адрес регистрации по месту жительства, ИНН, контактный телефон, адрес электронной почты, почтовый адрес, реквизиты лицевого/банковского счета. Объем: менее чем 100000 субъектов персональных данных;

2) лица, обработка персональных данных которых осуществляется в связи с исполнением государственного контракта.

Категория ПДн "иные": фамилия, имя и отчество (при наличии), сведения о документе, удостоверяющем личность, адрес регистрации по месту жительства, ИНН, контактный телефон, адрес электронной почты, почтовый адрес, реквизиты лицевого/банковского счета. Объем: менее чем 100000 субъектов персональных данных;

3) лица, обработка персональных данных которых осуществляется в связи с подготовкой, заключением, исполнением и прекращением гражданско-правовых договоров (соглашений).

Категория ПДн "иные": фамилия, имя и отчество (при наличии), сведения о документе, удостоверяющем личность, адрес регистрации по месту жительства, ИНН, контактный телефон, адрес электронной почты, почтовый адрес, реквизиты лицевого/банковского счета. Объем: менее чем 100000 субъектов персональных данных;

4) иностранные лица, прибывшие в Краснодарский край в рамках проведения приемов иностранных граждан (делегаций) в органах исполнительной власти Краснодарского края.

Категория ПДн "иные": фамилия, имя и отчество (при наличии), сведения о документе, удостоверяющем личность, контактный телефон, фотография. Объем: менее чем 100000 субъектов персональных данных.

3.5. Цель "представление интересов департамента в судах, органах принудительного исполнения судебных актов" достигается посредством обработки ПДн следующих субъектов ПДн:

лица, имеющие непогашенную задолженность перед бюджетом Краснодарского края, в лице департамента.

Категория ПДн "иные": фамилия, имя и отчество (при наличии), сведения о документе, удостоверяющем личность, адрес регистрации по месту жительства, ИНН, контактный телефон, адрес электронной почты, почтовый адрес, реквизиты лицевого/банковского счета. Объем: менее чем 100000 субъектов персональных данных.

4. Условия обработки, хранения персональных данных, порядок их уничтожения

4.1. Все ПДн субъектов ПДн департамент получает от них лично либо от их представителей.

4.2. Необходимые для ведения кадрового учета ПДн близких родственников служащих департамента департамент получает от служащих департамента.

4.3. Обработка ПДн осуществляется в соответствии с действующим законодательством на законной и справедливой основе, а также с соблюдением принципов и правил, предусмотренных Федеральным законом N 152-ФЗ, на основании согласия субъекта ПДн на обработку его ПДн, кроме случаев, предусмотренных Федеральным законом N 152-ФЗ.

Типовая форма согласия на обработку персональных данных государственных гражданских служащих департамента, иных субъектов персональных данных утверждается приказом департамента. Допускается совмещение формы согласия субъекта ПДн с типовыми формами документов, содержащих ПДн субъекта (например анкеты, бланки).

4.4. Субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются департаментом.

4.5. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

4.6. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку своих ПДн департамент вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в Федеральном законе N 152-ФЗ.

4.7. Департамент оставляет за собой право не осуществлять свои функции в отношении субъекта ПДн в случае предоставления неполных или недостоверных ПДн, а также в случае отказа дать письменное согласие на обработку ПДн.

4.8. Перечень должностей государственных гражданских служащих департамента, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн субъектов ПДн, утверждается приказом департамента.

4.9. Доступ к ПДн, обрабатываемым без использования средств автоматизации, осуществляется в соответствии с перечнем должностей, утвержденным приказом департамента.

4.10. Доступ к ПДн, обрабатываемым в информационных системах ПДн, осуществляется в соответствии с перечнем должностей, утвержденным приказом департамента.

4.11. Уполномоченные лица, допущенные к ПДн субъектов ПДн департамента, имеют право получать только те ПДн субъекта ПДн, которые им необходимы для выполнения конкретных функций, в соответствии с должностными регламентами указанных лиц.

4.12. Обработка ПДн, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687.

ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).

4.13. Обработка ПДн прекращается в следующих случаях:

при достижении цели обработки ПДн или в случае утраты необходимости в достижении цели обработки ПДн, если иное не предусмотрено Федеральным законом N 152-ФЗ;

при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки ПДн;

при выявлении факта неправомерной обработки ПДн;

при отзыве субъектом персональных данных согласия, если в соответствии с Федеральным законом N 152-ФЗ обработка персональных данных допускается только с согласия.

4.14. ПДн субъектов ПДн на бумажных носителях хранятся в течение сроков их хранения, установленных федеральными законами, иными нормативными правовыми актами Российской Федерации, а также Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 г. N 236.

Срок хранения ПДн, обрабатываемых в информационных системах ПДн, соответствует сроку хранения ПДн на бумажных носителях.

Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом, договором (контрактом), стороной которого выгодоприобретателем или поручителем является субъект ПДн.

Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Места хранения материальных носителей ПДн, ответственных лиц за сохранность этих носителей и лиц, имеющих право доступа к ПДн, обрабатываемым без использования средств автоматизации, в департаменте определяются отдельным приказом департамента.

4.15. ПДн могут подлежать блокированию (временному прекращению обработки ПДн), уточнению, уничтожению либо обезличиванию в одном из следующих случаев:

1) выявление неправомерной обработки ПДн при обращении либо по запросу субъекта ПДн или его представителя субъекта ПДн, либо уполномоченного органа по защите прав субъектов ПДн (далее - уполномоченный орган);

2) выявление неправомерной обработки ПДн, осуществляемой департаментом или лицом, действующим по поручению департамента, и невозможности обеспечить правомерную обработку ПДн;

3) достижение целей обработки ПДн или в случае утраты необходимости в их достижении;

4) отзыв согласия субъекта ПДн на обработку его ПДн;

5) выявление неточных ПДн при обращении либо по запросу субъекта ПДн или его представителя или по запросу уполномоченного органа, либо предоставление субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными, неактуальными (устаревшими), незаконно полученными или не являются необходимыми для заявленной цели обработки;

6) истечение срока хранения ПДн;

7) прекращение деятельности департамента.

4.16. В случае предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, департамент вносит в них необходимые изменения.

4.17. В случае предоставления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, департамент уничтожает такие ПДн.

Уничтожение ПДн в департаменте осуществляется комиссией по уничтожению ПДн, образованной соответствующим приказом департамента.

Уничтожение ПДн, обрабатываемых с использованием средств автоматизации, содержащих ПДн субъекта ПДн, выполняется комиссией по уничтожению ПДн с составлением соответствующего акта об уничтожении ПДн, установившей необходимость их уничтожения.

Уничтожение ПДн на бумажных носителях осуществляется на основании решения комиссии по уничтожению ПДн. Способ уничтожения материальных носителей ПДн определяется комиссией. Допускается применение следующих способов:

сжигание;

шредирование (измельчение);

передача на специализированные полигоны (свалки);

химическая обработка.

При этом составляется акт об уничтожении документов, содержащих ПДн субъекта ПДн.

Уничтожение ПДн, обрабатываемых с использованием средств автоматизации, достигается путем затирания информации на носителях информации (в том числе и резервных копиях) или путем механического нарушения целостности носителя информации, не позволяющего в дальнейшем произвести считывание или восстановление ПДн.

Документами, подтверждающими факт уничтожения ПДн, является в случае их уничтожения без использования средств автоматизации - акт об уничтожении ПДн, с применением названных средств - акт об уничтожении ПДн и выгрузка из журнала регистрации событий в информационной системе персональных данных. Типовая форма акта об уничтожении ПДн приведена в приложении 1 к Правилам.

Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами.

При отсутствии технической возможности осуществить уничтожение ПДн, содержащихся в базах данных и (или) невозможности осуществления затирания информации на носителях, допускается проведение обезличивания путем перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта ПДн была невозможна.

Контроль выполнения процедур уничтожения ПДн осуществляет ответственный за организацию обработки ПДн в департаменте.

4.18. Особенности обработки специальных категорий ПДн, а также сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн), установлены соответственно статьями 10 и 11 Федерального закона N 152-ФЗ.

4.19. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 статьи 10 Федерального закона N 152-ФЗ. Обработка ПДн о судимости может осуществляться органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами, в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4.20. Обработка биометрических ПДн может осуществляться только при наличии согласия в письменной форме субъекта ПДн, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона N 152-ФЗ.

4.21. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн, только при наличии согласия в письменной форме субъекта ПДн.

4.22. Служащие департамента должны быть ознакомлены под роспись с требованиями законодательства Российской Федерации, касающимися обработки ПДн, настоящими Правилами и другими документами департамента, устанавливающими порядок обработки ПДн субъектов ПДн, а также права и обязанности в этой сфере.

5. Особенности обработки персональных данных в информационных системах персональных данных

5.1. Особенности обработки ПДн в информационных системах ПДн департамента содержатся в статье 13 Федерального закона N 152-ФЗ.

6. Передача персональных данных третьим лицам

6.1. Получение ПДн субъекта ПДн у третьих лиц возможно только при уведомлении субъекта ПДн об этом заранее и с его письменного согласия. Типовая форма согласия субъекта персональных данных на получение его персональных данных у третьей стороны приведена в приложении 2 к Правилам. Допускается совмещение формы согласия субъекта ПДн с типовыми формами документов, содержащих ПДн субъекта ПДн (например анкеты, бланки).

6.2. При обработке ПДн субъекта ПДн должны соблюдаться следующие требования:

1) не сообщать ПДн субъекта ПДн третьей стороне без письменного согласия субъекта ПДн. Типовая форма согласия субъекта ПДн на передачу его персональных данных третьей стороне приведена в приложении 3 к Правилам. Допускается совмещение формы согласия субъекта ПДн с типовыми формами документов, содержащими ПДн субъекта;

2) предупреждать лиц, получающих ПДн субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн субъекта ПДн, обязаны соблюдать режим конфиденциальности в отношении этих данных.

6.3. В соответствии с частью 15 статьи 10.1 Федерального закона N 152-ФЗ ПДн субъекта ПДн могут быть переданы в иные государственные, муниципальные органы, а также подведомственные таким органам организации в рамках исполнения функций, полномочий и обязанностей, возложенных на департамент без согласия и уведомления субъекта ПДн.

6.4. При необходимости трансграничной передачи ПДн на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, департамент запрашивает согласие субъекта ПДн в письменной форме.

7. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

7.1. Особенности обработки ПДН, разрешенных субъектом ПДн для распространения, содержатся в статье 10.1 Федерального закона N 152-ФЗ. Типовая форма согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, приведена в приложении 4 к Правилам.

8. Защита персональных данных субъекта персональных данных

8.1. Защиту ПДн субъектов ПДн от неправомерного их использования или утраты департамент обеспечивает в порядке, установленном законодательством Российской Федерации.

8.2. При обработке ПДн должны быть приняты необходимые организационные и технические меры по обеспечению их конфиденциальности.

8.3. Технические меры защиты ПДн при их обработке техническими средствами устанавливаются в соответствии с:

1) приказом Федеральной службы по техническому и экспортному контролю России (далее - ФСТЭК России) от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

2) приказом ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

3) специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Государственной технической комиссии при Президенте Российской Федерации от 30 августа 2002 г. N 282;

4) внутренними документами департамента, действующими в сфере обеспечения информационной безопасности.

8.4. Защита ПДн предусматривает ограничение к ним доступа.

8.5. Руководитель структурного подразделения департамента, осуществляющего обработку ПДн:

1) несет ответственность за организацию защиты ПДн в подчиненном структурном подразделении департамента;

2) закрепляет за служащими департамента, обрабатывающих ПДн, конкретные материальные носители, на которых допускается хранение ПДн в случае, если такие носители необходимы для выполнения возложенных на служащих департамента функций и задач;

3) обеспечивает изучение служащими департамента, обрабатывающими ПДн, нормативных правовых актов по защите ПДн и требует их неукоснительного исполнения;

4) обеспечивает режим конфиденциальности в отношении ПДн, обрабатываемых в структурном подразделении департамента;

5) контролирует порядок доступа к ПДн, в соответствии с функциональными обязанностями (должностными обязанностями, регламентами, положениями) служащих структурного подразделения департамента.

8.6. Служащие департамента, допущенные к обработке ПДн, дают письменное обязательство о неразглашении обрабатываемых ПДн.

9. Обязанности лиц, допущенных к обработке персональных данных

9.1. Лица, допущенные к работе с ПДн, обязаны:

1) знать законодательство Российской Федерации в сфере обработки и защиты ПДн, правовые акты департамента по обработке и защите ПДн;

2) сохранять конфиденциальность ПДн;

3) обеспечивать сохранность закрепленных за ними носителей ПДн;

4) контролировать срок истечения действия согласий на обработку ПДн и при необходимости дальнейшей обработки ПДн обеспечивать своевременное получение новых согласий или прекращение обработки ПДн;

5) докладывать своему непосредственному руководителю структурного подразделения департамента обо всех фактах и попытках несанкционированного доступа к ПДн и других нарушениях.

9.2. Ответственный за организацию обработки ПДн департамента организует проведение инструктажа и ознакомление служащих департамента, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику департамента в отношении обработки ПДн, правовыми актами департамента по вопросам обработки ПДн.

10. Ответственность за нарушение законодательства о персональных данных

10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку, передачу и защиту ПДн субъектов ПДн несут предусмотренную законодательством Российской Федерации ответственность.

Начальник финансового отдела департамента

Л.А. Черномаз