Приказ Министерства строительства Новосибирской области от 05.08.2024 N 144-НПА "Об утверждении документов, направленных на обеспечение выполнения министерством строительства Новосибирской области обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами" (с изменениями и дополнениями)

Приказ Министерства строительства Новосибирской области от 5 августа 2024 г. N 144-НПА
"Об утверждении документов, направленных на обеспечение выполнения министерством строительства Новосибирской области обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами"

В целях выполнения требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказываю:

1. Утвердить прилагаемые:

1) Правила обработки персональных данных в министерстве строительства Новосибирской области;

2) Правила рассмотрения запросов субъектов персональных данных или их представителей в министерстве строительства Новосибирской области;

3) Правила работы с обезличенными данными в случае обезличивания персональных данных в министерстве строительства Новосибирской области.

2. Контроль за исполнением настоящего приказа оставляю за собой.

Министр

А.В. Колмаков

УТВЕРЖДЕНЫ
приказом
министерства строительства
Новосибирской области
от 5 августа 2024 г. N 144-НПА

Правила обработки персональных данных в министерстве строительства Новосибирской области

I. Общие положения

1. Настоящие Правила обработки персональных данных в министерстве строительства Новосибирской области (далее - Правила) разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

2. Настоящие Правила определяют цели, принципы, условия, способы и порядок обработки персональных данных, категории субъектов, персональные данные которых обрабатываются в министерстве строительства Новосибирской области (далее - Минстрой НСО), содержание обрабатываемых персональных данных, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.

3. В настоящих Правилах используются следующие термины и определения: персональные данные - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом N 152-ФЗ;

оператор - Минстрой НСО, организующий и осуществляющий обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными;

включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

использование персональных данных - действия с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

автоматизированная обработка - обработка данных, выполняемая средствами вычислительной техники;

обработка без использования средств автоматизации - действия с персональными данными (такие как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных), осуществляемые при непосредственном участии человека;

блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе или в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

защита персональных данных - деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном субъекте персональных данных.

II. Цели обработки персональных данных

4. Цели обработки персональных данных в Минстрое НСО конкретны, заранее определены и законны.

5. Обработка персональных данных Минстроем НСО осуществляется в следующих целях:

выполнение требований трудового законодательства и законодательства о государственной гражданской службе Российской Федерации; ведение бухгалтерского, кадрового и воинского учета; формирование кадрового резерва; оформление договорных отношений в соответствии с законодательством Российской Федерации (осуществление гражданско-правовых отношений);

ведение личных дел (карточек); осуществление расчета заработной платы и иных выплат и удержаний; представление граждан к получению наград; учет студентов, проходящих производственную практику;

ведение учета граждан, чьи денежные средства привлечены для строительства многоквартирных домов, и чьи права нарушены; ведение учета документов, подтверждающих возникновение правоотношений между заявителем и застройщиком; ведение учета сведений о застройщике и (или) иных лицах, привлекающих денежные средства;

обеспечение и оказание государственных услуг и исполнение государственных функций с использованием единой системы межведомственного электронного взаимодействия;

подготовка государственным органом ответов на запросы и обращения граждан через портал Государственных услуг Российской Федерации.

6. Цели обработки персональных данных определяют:

содержание обрабатываемых персональных данных;

категории субъектов, персональные данные которых обрабатываются;

сроки обработки и хранения персональных данных;

порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

III. Принципы обработки персональных данных

7. Обработка персональных данных в Минстрое НСО осуществляется в соответствии со следующими принципами:

обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей;

не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки и не должны быть избыточными по отношению к заявленным целям их обработки;

при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных, оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных ;

хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

обработке подлежат только персональные данные, которые отвечают целям их обработки.

IV. Условия обработки персональных данных

8. Обработка персональных данных в Минстрое НСО допускается в следующих случаях:

при наличии согласия субъекта персональных данных на обработку его персональных данных;

обработка персональных данных осуществляется в связи с участием лица в судопроизводстве;

обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного управления;

осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;

обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.

V. Конфиденциальность персональных данных

9. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

VI. Категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения

10. В Минстрое НСО осуществляется обработка персональных данных следующих категорий субъектов персональных данных:

государственные гражданские служащие;

работники, замещающие должности, не являющиеся должностями государственной гражданской службы;

граждане, персональные данные которых необходимы для рассмотрения обращений граждан;

граждане, персональные данные которых необходимы для оказания государственных услуг.

11. Персональные данные обрабатываются в сроки, обусловленные заявленными целями их обработки.

12. Обработка персональных данных осуществляется с момента их получения Минстроем НСО и прекращается:

по достижении целей обработки персональных данных;

в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных;

в связи с отзывом согласия субъекта персональных данных (или его представителей) на обработку его персональных данных;

в случае выявления неправомерной обработки персональных данных;

в случае истечения установленного срока хранения персональных данных;

в случае прекращение осуществления деятельности оператора или ликвидация оператора.

13. Сроки хранения персональных данных, содержащихся на материальных носителях информации, устанавливаются в соответствии с номенклатурой дел Минстроя НСО.

VII. Содержание обрабатываемых персональных данных

14. Перечень персональных данных, обрабатываемых в целях, указанных в пункте 5 настоящих Правил, утверждается приказом Минстроя НСО.

VIII. Обработка персональных данных с согласия субъекта персональных данных

15. До начала обработки персональных данных оператор получает у субъектов согласие на обработку их персональных данных по форме утвержденной приказом Минстроя НСО.

16. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с действующим законодательством электронной подписью.

17. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, предусмотренных Федеральным законом N 152-ФЗ.

18. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

19. Допускается включение согласия в типовые формы (бланки) материальных носителей персональных данных и в договор с субъектом персональных данных.

20. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

21. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления письменного запроса оператору.

IX. Обработка персональных данных без согласия субъекта персональных данных

22. Обработка персональных данных без получения согласия на такую обработку от субъекта персональных данных или в случае отзыва согласия субъектом персональных данных может осуществляться оператором при наличии оснований, предусмотренных Федеральным законом N 152-ФЗ.

23. Обязанность предоставить доказательство наличия оснований на обработку персональных данных без согласия субъекта персональных данных возлагается на оператора.

X. Правила обработки персональных данных, разрешенных субъектом персональных данных для распространения

24. Персональные данные, разрешенные субъектом персональных данных для распространения, обрабатываются и подлежат защите в соответствии с Федеральным законом N 152-ФЗ.

25. Распространение персональных данных субъектов персональных данных допускается при наличии согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, а также в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей.

26. С целью информационного обеспечения и осуществления взаимодействия со сторонними физическими и юридическими лицами в Минстрое НСО могут создаваться общедоступные источники персональных данных.

27. В общедоступный источник персональных данных в целях информационного обеспечения могут включаться: должность, фамилия, имя, отчество, контактные данные (номер телефона, адрес электронной почты), сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных и разрешенные им для распространения.

28. Включение в общедоступные источники персональных данных субъекта персональных данных допускается только на основании его письменного согласия.

29. Сведения о субъекте персональных данных подлежат исключению из общедоступных источников при утрате необходимости в обработке таких данных, по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов в соответствии с действующим законодательством Российской Федерации.

30. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

31. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

32. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, предоставляется субъектом персональных данных непосредственно оператору.

33. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором без права распространения.

34. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с Федеральным законом N 152-ФЗ, такие персональные данные обрабатываются оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

35. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

36. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий не допускается.

37. Оператор обязуется в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

38. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

39. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором.

40. Оператор обязуется прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных.

41. В случае обработки персональных данных из общедоступных источников персональных данных (в том числе справочники, адресные книги), обязанность сбора и предоставления доказательств того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора (наличие подтверждения согласия субъекта персональных данных на включение такой информации в общедоступные источники персональных данных или отсутствие необходимости получения такого согласия).

42. Обязанность предоставить доказательства законности распространения или иной обработки персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

43. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения в соответствии с ч. 3 ст. 18 Федерального закона N 152-ФЗ, если обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных Федеральным законом N 152-ФЗ.

XI. Способы обработки персональных данных

44. В Минстрое НСО обработка персональных данных осуществляется как с использованием, так и без использования средств автоматизации.

45. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

46. Обработка персональных данных средствами автоматизации должна осуществляться с соблюдением прав и законных интересов субъекта персональных данных на основании правил, положений, инструкций, руководств, регламентов и иных документов, определяющих технологический процесс обработки информации, содержащей такие данные.

47. Особенности обработки персональных данных без использования средств автоматизации определяются Правилами обработки персональных данных без использования средств автоматизации в министерстве строительства Новосибирской области.

XII. Сбор, систематизация, накопление, уточнение и использование персональных данных

48. Способы сбора и источники получения персональных данных:

предоставление субъектом персональных данных подлинников документов и (или) их копий;

заполнение субъектом персональных данных соответствующих форм;

получение персональных данных от третьих лиц;

получение данных на основании запроса третьим лицам;

сбор данных из общедоступных источников.

49. Если предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными в соответствии с федеральными законами, иными нормативными правовыми документами, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на их обработку.

50. Если основания на обработку персональных данных без получения согласия отсутствуют, то необходимо получение согласия субъекта персональных данных на обработку его персональных данных. Обработка персональных данных без получения такого согласия запрещается.

51. Если персональные данные получены не от субъекта персональных данных (за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ) оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

наименование и адрес оператора или его представителя;

сведения о цели обработки персональных данных и ее правовое основание;

сведения о перечне персональных данных;

сведения о предполагаемых пользователях персональных данных;

сведения о правах субъекта персональных данных;

сведения об источниках получения персональных данных.

52. Оператор освобождается от обязанности предоставлять субъекту персональных данных сведения в случаях, если:

субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

персональные данные получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных Федеральным законом N 152-ФЗ;

оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;

предоставление субъекту персональных данных сведений нарушает права и законные интересы третьих лиц.

53. Систематизация, накопление, уточнение, использование персональных данных в Минстрое НСО осуществляются законными способами в соответствии с локальными актами Минстроя НСО, а также иными документами, определяющими технологический процесс обработки информации.

54. Использование персональных данных в Минстрое НСО осуществляется исключительно в заявленных целях. Использование персональных данных в заранее не определенных и не оформленных установленным образом целях не допускается.

XIII. Правила обработки персональных данных при поручении обработки персональных данных другому лицу

55. Минстрой НСО вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (контракта), либо путем принятия соответствующего акта (далее - поручение оператора).

56. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные действующим законодательством Российской Федерации в области персональных данных.

57. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, способы и цели их обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона N 152-ФЗ, обязанность по запросу Минстроя НСО в течение срока действия поручения Минстроя НСО, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Минстроя НСО требований, установленных в соответствии с частью 3 статьи 6 Федерального закона N 152-ФЗ, обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных, в том числе требование об уведомлении Минстроя НСО о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона N 152-ФЗ.

58. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае необходимости получения согласия на обработку персональных данных от субъекта персональных данных обязанность получения такого согласия возлагается на оператора.

59. В случае, если оператор поручит обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

60. В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.

XIV. Осуществление передачи персональных данных

61. Передача персональных данных в адрес третьих лиц осуществляется оператором с соблюдением настоящих Правил и действующего законодательства Российской Федерации.

62. Оператор может использовать следующие способы передачи персональных данных субъектов персональных данных:

на бумажных носителях информации (почтовая связь; нарочно);

в электронном виде (по внутренней сети; по сетям связи общего пользования с выходом за пределы контролируемой зоны; с использованием съемных носителей информации).

63. Перед осуществлением передачи персональных данных сотрудники оператора должны убедиться в наличии правовых оснований на осуществление такой передачи:

наличии согласия субъекта персональных данных на передачу его персональных данных в адрес третьих лиц или наличии иных законных оснований:

достижение целей, предусмотренных законодательством Российской Федерации;

исполнение возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

реализация или заключение договора (стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных) с третьей стороной, в адрес которой осуществляется передача персональных данных.

64. Персональные данные, хранящиеся на машинных носителях информации, подлежат уничтожению (стиранию) при передаче машинных носителей информации между пользователями, в сторонние организации для ремонта или утилизации в порядке, установленном положениями локальных актов оператора.

65. Передача персональных данных должна осуществляться с использованием методов и способов, а также с принятием мер, исключающих неправомерный или случайный доступ к передаваемым персональным данным, следствием которого может стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

66. В целях обеспечения контроля передачи персональных данных третьим лицам сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также состав переданной информации фиксируются в Журнале учета передачи персональных данных. Форма соответствующего журнала утверждается приказом Минстроя НСО.

XV. Хранение персональных данных и сроки их обработки

67. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации и (или) договором, стороной которого является субъект персональных данных.

68. В процессе хранения персональных данных субъектов персональных данных необходимо обеспечивать контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

69. Хранение персональных данных должно осуществляться на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

70. Ключи от шкафов и сейфов, в которых хранятся сведения о субъектах персональных данных, находятся у ответственных сотрудников.

71. Материальные носители персональных данных, обработка которых осуществляется в различных целях, должны храниться отдельно.

72. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Должны быть определены места хранения персональных данных и определен перечень лиц, осуществляющих обработку персональных данных (в том числе без использования средств автоматизации) либо имеющих к ним доступ.

73. Обеспечение безопасности и учет машинных носителей информации, используемых в Минстрое НСО для хранения персональных данных, осуществляется в порядке, установленном локальными актами оператора, регламентирующими правила обращения с машинными носителями информации.

74. Обязанности по организации хранения материальных носителей персональных данных в Минстрое НСО возлагаются на ответственных за организацию обработки персональных данных в Минстрое НСО и руководителей структурных подразделений, в которых осуществляется обработка персональных данных.

75. На основании определенных целей обработки персональных данных, способов обработки и образующихся в процессе такой обработки различных видов документов устанавливаются сроки обработки персональных данных, в том числе хранения.

76. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации в сфере обработки персональных данных.

77. Определение организации и сроков хранения, комплектования, учета и использования содержащих персональные данные архивных документов осуществляется в соответствии с требованиями законодательства об архивном деле в Российской Федерации.

XVI. Порядок блокирования персональных данных

78. Блокирование персональных данных осуществляется:

в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки;

в случае отсутствия возможности уничтожения персональных данных в установленные сроки до их уничтожения.

79. После устранения выявленной неправомерной обработки персональных данных осуществляется снятие блокирования персональных данных.

80. Решение о блокировании и снятии блокирования персональных данных субъекта персональных данных принимается ответственными за организацию обработки персональных данных в Минстрое НСО.

XVII. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

81. Оператор обязан уничтожить или обеспечить уничтожение персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в следующих случаях:

при достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом (в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом N 152-ФЗ или другими федеральными законами);

персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (в срок, не превышающий семи рабочих дней);

в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно (в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных);

в случае отзыва субъектом персональных данных согласия на обработку его персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных (в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом N 152-ФЗ или другими федеральными законами);

в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных (в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона N 152-ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации).

82. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пункте 17.1 настоящих Правил, Минстрой НСО осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Минстроя НСО) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Пункт 17.1 в настоящих Правилах отсутствует

83. При уничтожении персональных данных необходимо:

убедиться в необходимости уничтожения персональных данных;

убедиться в том, что уничтожаются те персональные данные, которые предназначены для уничтожения;

уничтожить персональные данные подходящим способом в соответствии с нижеследующими требованиями или способом, указанным в соответствующем распорядительном документе или технологической инструкции;

при необходимости уведомить об уничтожении персональных данных требуемых лиц.

84. При необходимости уничтожения персональных данных оператор должен руководствоваться следующими требованиями:

бумажные носители, содержащие персональные данные, должны уничтожаться при помощи специального оборудования (уничтожителей (измельчителей) бумаги);

персональные данные, представленные в электронном виде, должны уничтожаться специализированным программным обеспечением, гарантирующим предотвращение восстановления удаленных данных;

после окончания процедуры уничтожения персональных данных и (или) материальных носителей персональных данных должен быть составлен соответствующий акт уничтожения (формы актов утверждены приказом Минстроя НСО "Об утверждении форм документов, необходимых в целях выполнения требований законодательства Российской Федерации в области обработки и защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, в Министерстве строительства Новосибирской области");

в случае необходимости физическое уничтожение машинных носителей персональных данных осуществляется путем физического разрушения или сильной деформации носителя;

контроль за своевременным уничтожением персональных данных осуществляют ответственные за организацию обработки персональных данных в Минстрое НСО.

85. Уничтожение (стирание) информации на машинных носителях (в том числе при их передаче между пользователями, в сторонние организации для ремонта или утилизации), а также уничтожение машинных носителей информации производится в порядке, установленном локальными актами оператора, регламентирующими правила обращения с машинными носителями информации в Минстрое НСО.

86. Уничтожение части персональных данных (обрабатываемых с использованием и без использования средств автоматизации), если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, зачеркивание, стирание).

87. При необходимости уничтожения части персональных данных, допускается уничтожать материальный носитель одним из указанных в настоящих Правилах способов, с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.

88. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению, производится на основании акта уничтожения персональных данных по утвержденной Минстроем НСО форме.

89. Хранение актов об уничтожении персональных данных и (или) материальных носителей персональных данных осуществляется в течение срока исковой давности, если иное не установлено нормативными правовыми актами Российской Федерации.

XVIII. Процедуры, направленные на выявление и предотвращение нарушений законодательства российской федерации в сфере персональных данных

90. Требования по защите персональных данных устанавливаются федеральными законами и иными нормативными правовыми актами, а также локальными актами оператора.

91. Всеми сотрудниками Минстроя НСО, получающими доступ к персональным данным, должен обеспечиваться установленный порядок защиты таких данных. Обработка персональных данных в Минстрое НСО без принятия мер по обеспечению безопасности персональных данных не допускается.

92. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К принимаемым в Минстрое НСО мерам по выявлению и предотвращению нарушений законодательства в сфере персональных данных относятся:

назначение ответственного за организацию обработки персональных данных в Минстрое НСО;

назначение ответственного за защиту информации, не содержащей сведения, составляющие государственную тайну, содержащейся информационных системах в Минстрое НСО;

обеспечение личной ответственности сотрудников, осуществляющих обработку, либо имеющих доступ к персональным данным;

издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения порядка обработки и защиты персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;

ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;

организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

утверждение оператором документов, определяющих перечни лиц, имеющих доступ к персональным данным, а также в помещения, в которых размещены информационные системы персональных данных и ведется обработка персональных данных;

определение угроз безопасности персональных данных при их обработке в информационных системах Минстроя НСО;

использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;

обеспечение учета и сохранности носителей персональных данных;

обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по предупреждению и ликвидации последствий несанкционированного доступа к персональным данным;

восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к персональным данным;

осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

блокирование, изменение и уничтожение персональных данных в предусмотренных действующим законодательством в области персональных данных случаях;

оповещение субъектов персональных данных в предусмотренных действующим законодательством в области персональных данных случаях;

разъяснение прав субъектов персональных данных по вопросам обработки и обеспечения безопасности их персональных данных;

организация рассмотрения запросов субъектов персональных данных или их представителей и ответов на такие запросы;

оказание содействия правоохранительным органам в случаях нарушений законодательства в отношении обработки персональных данных;

обеспечение неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

обеспечение записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

защита персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, путем применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации.

УТВЕРЖДЕНЫ
приказом
министерства строительства
Новосибирской области
от 5 августа 2024 г. N 144-НПА

Правила рассмотрения запросов субъектов персональных данных или их представителей в министерстве строительства Новосибирской области

I. Общие положения

1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей (далее - Правила) разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют права субъектов персональных данных и обязанности министерства строительства Новосибирской области (далее - Минстрой НСО) при обращении субъекта персональных данных или его представителя, а также сроки и порядок действий должностных лиц Минстроя НСО при рассмотрении запросов субъектов персональных данных или их представителей.

II. Права субъектов персональных данных

2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Минстроем НСО; правовые основания и цели обработки персональных данных;

цели и применяемые Минстроем НСО способы обработки персональных данных;

наименование и место нахождения Минстроя НСО, сведения о лицах (за исключением сотрудников Минстроя НСО), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Минстроем НСО или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством в сфере защиты персональных данных;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Минстроя НСО, если обработка поручена или будет поручена такому лицу;

информацию о способах исполнения Минстроем НСО обязанностей, установленных статьей 18.1 Федерального закона "О персональных данных";

иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.

3. Сведения, указанные в пункте 2 настоящих Правил, должны быть предоставлены субъекту персональных данных Минстроем НСО в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

4. Сведения, указанные в пункте 2 настоящих Правил, предоставляются субъекту персональных данных или его представителю Минстроем НСО при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Минстроем НСО, либо сведения, иным образом подтверждающие факт обработки персональных данных Минстроем НСО, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Минстрой НСО предоставляет запрашиваемые сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение или запрос, если иное не указано в обращении или запросе.

5. В случае, если сведения, указанные в пункте 2 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Минстрой НСО или направить повторный запрос в целях получения сведений, указанных в пункте 2 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

6. Субъект персональных данных вправе обратиться повторно в Минстрой НСО или направить повторный запрос в целях получения сведений, указанных в пункте 2 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих Правил, должен содержать обоснование направления повторного запроса.

7. Минстрой НСО вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Минстрое НСО.

8. Субъект персональных данных вправе требовать от Минстроя НСО уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

III. Обязанности Минстроя НСО при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя

10. Минстрой НСО обязуется сообщить в порядке, предусмотренном настоящими Правилами, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с момента обращения либо получения Минстроем НСО запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней, в случае направления Минстроем НСО в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

11. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Минстрой НСО обязуется дать в письменной форме мотивированный ответ с указанием причин отказа в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней , в случае направления Минстроем НСО в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

12. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Минстрой НСО обязуется внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Минстрой НСО обязуется уничтожить такие персональные данные. Минстрой НСО обязуется уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

13. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя Минстрой НСО обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Минстроя НСО) с момента такого обращения или получения указанного запроса на период проверки.

14. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя.

15. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу Минстрой НСО обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Минстроя НСО) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

16. В случае подтверждения факта неточности персональных данных Минстрой НСО на основании сведений, представленных субъектом персональных данных или его представителем, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Минстроя НСО) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

IV. Порядок рассмотрения запросов субъектов персональных данных или их представителей

17. В день поступления запроса субъекта персональных данных или его представителя в Минстрой НСО указанный запрос необходимо зарегистрировать в соответствии с правилами документооборота, установленными Минстроем НСО, а также внести соответствующую запись в Журнал учета обращений субъектов персональных данных и их представителей. Форма Журнала учета обращений субъектов персональных данных и их представителей утверждена утверждена Минстроя НСО.

18. Ответственный за организацию обработки персональных данных Минстроя НСО осуществляет непосредственный контроль за соблюдением установленного законодательством Российской Федерации и настоящими Правилами порядка рассмотрения запросов субъектов персональных данных или их представителей. На контроль берутся все запросы.

19. Ответственный за организацию обработки персональных данных и (или) структурное подразделение, ответственное за исполнение указанного запроса, обеспечивает рассмотрение запроса и подготовку необходимой информации в установленный действующим законодательством срок.

20. Для проверки фактов правонарушений, совершенных со стороны Минстроя НСО и изложенных в запросах объектов персональных данных и (или) их представителей, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации. В случае выявления фактов совершения сотрудниками Минстроя НСО действий (бездействия), содержащих признаки административного правонарушения или состава преступления, информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются министру строительства Новосибирской области.

21. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

2. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.

УТВЕРЖДЕНЫ
приказом
министерства строительства
Новосибирской области
от 5 августа 2024 г. N 144-НПА

Правила работы с обезличенными данными в случае обезличивания персональных данных в министерстве строительства Новосибирской области

I. Общие положения

1. Правила работы с обезличенными данными в случае обезличивания персональных данных в министерстве строительства Новосибирской области (далее - Правила) разработаны в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" и определяют условия обезличивания персональных данных, методы обезличивания персональных данных и порядок работы с обезличенными данными.

2. Настоящие Правила являются обязательными для исполнения всеми сотрудниками министерства строительства Новосибирской области (далее - Минстрой НСО), которые осуществляют обезличивание персональных данных или имеют доступ к обезличенным персональным данным.

3. В настоящих Правилах применяются следующие термины и определения:

1) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

2) деобезличивание - действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными.

3) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

4) обезличенные данные - это данные, хранимые в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации.

5) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с защищаемой информацией, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение информации.

6) обработка обезличенных данных - любое действие (операция) или совокупность действий (операций), совершаемых с обезличенными данными, без применения их предварительного деобезличивания.

7) оператор - Минстрой НСО, который самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

8) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

II. Условия обезличивания персональных данных

4. Обезличивание персональных данных может быть проведено в статистических целях, в целях предупреждения ущерба от разглашения персональных данных, по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, а также в иных целях, предусмотренных законодательством Российской Федерации.

5. Обезличивание персональных данных должно обеспечивать следующие свойства информации:

полноту (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);

структурированность (сохранение структурных связей между обезличенными персональными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);

релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);

семантическую целостность (сохранение семантики (сути и смысла) персональных данных при их обезличивании);

применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, без предварительного деобезличивания всего объема записей о субъектах);

анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

6. К характеристикам (свойствам) методов обезличивания персональных данных относятся:

обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);

вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);

изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);

стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);

возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);

совместимость (возможность интеграции персональных данных, обезличенных различными методами);

параметрический объем (возможность определения объема дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);

возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).

7. Методы обезличивания персональных данных должны обладать следующими свойствами:

обратимостью (возможностью проведения деобезличивания);

возможностью обеспечения заданного уровня анонимности;

увеличением стойкости при увеличении объема обезличиваемых персональных данных.

8. Получаемые обезличенные данные должны обладать следующими свойствами:

сохранением полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);

сохранением структурированности обезличиваемых персональных данных;

сохранением семантической целостности обезличиваемых персональных данных;

анонимностью отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания).

9. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.

10. В Минстрое НСО могут быть использованы следующие методы обезличивания:

метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);

метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных);

другие способы и их комбинации.

11. Описание методов обезличивания, обеспечиваемых ими свойств обезличенных данных, оценка свойств методов, требования к реализации методов приведены в приложении к настоящим Правилам.

12. Руководители структурных подразделений Минстроя НСО, непосредственно осуществляющих обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и определяют методы обезличивания по согласованию с ответственным за организацию обработки персональных данных в Минстрое НСО.

III. Организация обработки обезличенных данных

13. При использовании процедуры обезличивания не допускается совместное хранение персональных данных и обезличенных данных.

14. Обезличивание персональных данных субъектов должно производиться перед внесением их в информационную систему (в случае автоматизированной обработки обезличенных данных).

15. В процессе обработки обезличенных данных оператором, при необходимости, может проводиться деобезличивание.

16. Обработка персональных данных до осуществления процедур обезличивания и после выполнения операций деобезличивания должна осуществляться в соответствии с действующим законодательством Российской Федерации с применением мер по обеспечению безопасности персональных данных.

17. Обработка обезличенных данных должна осуществляться с использованием средств, соответствующих форме представления и хранения данных.

18. Субъект персональных данных должен иметь возможность получить сведения о составе его персональных данных, имеющихся у оператора.

19. Дополнительная (служебная) информация, содержащая параметры методов и процедур обезличивания/деобезличивания, подлежит защите от несанкционированного доступа к ней. При этом должно обеспечиваться исполнение установленных правил доступа к хранимым данным, резервного копирования и возможности актуализации и восстановления хранимых данных.

IV. Правила работы с обезличенными данными

20. В процессе обработки обезличенных данных допускается любое действие (операция) или совокупность действий (операций), совершаемых с обезличенными данными и направленных на достижение поставленных целей обработки, без применения их предварительного деобезличивания.

21. Обезличенные данные могут обрабатываться с использованием и без использования средств автоматизации.

22. Процедуры обезличивания/деобезличивания должны соответствовать условиям и целям обработки персональных данных.

23. При реализации процедур обезличивания/деобезличивания, а также при последующей обработке обезличенных данных не должны нарушаться права субъектов персональных данных.

24. В процессе реализации процедуры обезличивания персональных данных оператору следует соблюдать все регламентные требования, предъявляемые к выбранному способу реализации процедуры обезличивания.

25. При хранении обезличенных данных оператору следует:

организовать раздельное хранение обезличенных данных и дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания;

обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания.

26. При передаче вместе с обезличенными данными информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания оператору следует обеспечить конфиденциальность канала (способа) передачи данных.

27. В ходе реализации процедуры деобезличивания оператору следует:

реализовать все требования по обеспечению безопасности получаемых персональных данных при автоматизированной обработке на средствах вычислительной техники, участвующих в реализации процедуры деобезличивания и обработке деобезличенных данных;

обеспечить обработку и защиту деобезличенных данных в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Приложение
к Правилам работы
с обезличенными данными
в случае обезличивания
персональных данных в
министерстве строительства
Новосибирской области

Описание методов обезличивания

I. Метод введения идентификаторов

1. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.

2. Метод обеспечивает следующие свойства обезличенных данных: полнота;

структурированность;

семантическая целостность;

применимость.

3. Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);

изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);

стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);

параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

4. Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.

II. Метод изменения состава или семантики

5. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.

6. Метод обеспечивает следующие свойства обезличенных данных:

структурированность;

релевантность;

применимость;

анонимность.

7. Оценка свойств метода:

обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);

вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);

параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);

возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).

8. Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта. При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).

III. Метод декомпозиции

9. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.

10. Метод обеспечивает следующие свойства обезличенных данных: полнота;

структурированность;

релевантность;

семантическая целостность;

применимость.

11. Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);

возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);

параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

12. Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.

IV. Метод перемешивания

13. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.

14. Метод обеспечивает следующие свойства обезличенных данных:

полнота;

структурированность;

релевантность;

семантическая целостность;

применимость;

анонимность.

15. Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);

возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);

параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

16. Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.

17. Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.