Приказ Министерства строительства и архитектуры Ставропольского края от 30.07.2024 N 312 "Об утверждении Политики обработки персональных данных в министерстве строительства и архитектуры Ставропольского края"

В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" приказываю:

1. Утвердить прилагаемую Политику обработки персональных данных в министерстве строительства и архитектуры Ставропольского края.

2. Признать утратившим силу приказ министерства строительства и архитектуры Ставропольского края от 15 марта 2019 г. N 76 "Об утверждении организационно-распорядительных документов по защите персональных данных в министерстве строительства и архитектуры Ставропольского края".

3. Сектору цифрового развития в сфере строительства министерства строительства и архитектуры Ставропольского края обеспечить ознакомление сотрудников министерства строительства и архитектуры Ставропольского края с настоящим приказом в течение трех рабочих дней со дня его подписания.

4. Контроль за исполнением настоящего приказа возложить на заместителя министра строительства и архитектуры Ставропольского края - главного архитектора Джафарова Р.Ш.

5. Настоящий приказ вступает в силу со дня его подписания.

Исполняющий обязанности министра

С.Н. Величко

УТВЕРЖДЕНА

приказом

министерства строительства

и архитектуры Ставропольского края

от 30.07.2024 N 312

Политика обработки персональных данных в министерстве строительства и архитектуры Ставропольского края

I. Общие положения

1. Политика обработки персональных данных в министерстве строительства и архитектуры Ставропольского края (далее - Политика) разработана в целях обеспечения защиты прав и свобод субъектов при обработке их персональных данных (далее - ПДн) и принятия мер для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) и принятыми в соответствии с ним нормативными правовыми актами.

2. Понятия, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом N 152-ФЗ.

3. Оператором ПДн является министерство строительства и архитектуры Ставропольского края (далее - министерство).

II. Правовые основания для обработки ПДн

4. Оператор обрабатывает персональные данные, руководствуясь:

1) Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

2) Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации";

3) Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

4) Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

5) Федеральным законом от 15 декабря 2001 г. N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";

6) Трудовым кодексом Российской Федерации;

7) Указом Президента Российской Федерации от 1 июня 1998 г. N 640 "О порядке ведения личных дел лиц, замещающих государственные должности Российской Федерации в порядке назначения и государственные должности федеральной государственной службы";

8) Указом Президента Российской Федерации от 1 февраля 2005 г. N 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации";

9) организационно-распорядительными документами, определяющими политику министерства в отношении обработки ПДн, локальными актами по вопросам обработки и защиты ПДн.

III. Категории субъектов ПДн

5. Субъектами ПДн являются:

1) сотрудники министерства, государственные гражданские служащие министерства, их близкие родственники, кандидаты на замещение должностей государственных гражданских служащих, граждане ранее замещавшие должности государственных гражданских служащих министерства (далее - субъекты ПДн категории 1);

2) физические лица, не являющиеся сотрудниками министерства (далее - субъекты ПДн категории 2);

3) физические и (или) юридические лица, участвующие в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах и в исполнении судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - субъекты ПДн категории 3).

IV. Цели обработки ПДн и категории обрабатываемых ПДн

6. Оператор обрабатывает ПДн исключительно в следующих целях:

1) ведение кадрового и бухгалтерского учета;

2) осуществление деятельности в соответствии с постановлением Правительства Ставропольского края от 24 декабря 2019 г. N 608-п "Об утверждении положения о министерстве строительства и архитектуры Ставропольского края";

3) рассмотрение обращений граждан;

4) участие лиц в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах и в исполнении судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

7. Для достижения цели ведения кадрового и бухгалтерского учета обрабатываются следующие категории ПДн субъектов ПДн категории 1, ПДн которых не относятся к биометрическим, специальным и общедоступным категориям ПДн (далее - иные категории ПДн):

фамилия, имя, отчество, пол, гражданство, дата рождения, место рождения, адрес проживания, адрес регистрации, контактные сведения (номер телефона, электронная почта), данные документа удостоверяющего личность, паспортные данные, данные загранпаспорта, водительского удостоверения, данные пенсионного удостоверения, СНИЛС, социальное положение, социальные льготы, информация о трудовой деятельности, ИНН, данные трудовой книжки, место работы, занимаемая должность, присвоенные награды и звания, сведения об аттестации, сведения о почетных званиях, сведения о присвоении квалификационного разряда, классного чина, дипломатического ранга, сведения о профессиональной переподготовке, воинского звания, образование, место учебы, специальность, профессия, квалификация, ученая степень, сведения о переподготовке и повышение квалификации, знание иностранного языка, сведения о судимости, данные полиса ОМС, данные личной медицинской книжки работника, трудоспособность, данные об инвалидности, семейное положение, состав семьи, данные свидетельства о браке/разводе, данные свидетельства о рождении ребенка, степень родства, доходы, имущественное положение, реквизиты лицевого/банковского счета, данные свидетельства о государственной регистрации права собственности, фотография.

Способ обработки ПДн - с использованием средств автоматизации и без использования таких средств (далее - смешанный).

Действиями, осуществляемыми с указанными ПДн, являются - сбор, использование, уточнение, хранение, обезличивание, передача, уничтожение.

Обработка ПДн осуществляется в течение всего периода работы в министерстве сотрудников и государственных гражданских служащих министерства.

Хранение ПДн осуществляется до их востребования либо в течение 50 лет (75 лет если оформлены до 2003 года).

После окончания сроков хранения ПДн подлежат уничтожению. Порядок уничтожения ПДн утверждается приказом министерства.

8. Для достижения цели осуществления деятельности в соответствии с постановлением Правительства Ставропольского края от 24 декабря 2019 г. N 608-п "Об утверждении положения о министерстве строительства и архитектуры Ставропольского края" обрабатываются ПДн субъектов ПДн категории 2, обратившихся за оказанием государственных услуг и функций министерства, иных категорий ПДн:

фамилия, имя, отчество, пол, адрес проживания, контактные сведения (электронная почта, номер телефона), ИНН, СНИЛС.

Способ обработки ПДн - смешанный.

Действиями осуществляемыми с указанными ПДн являются - использование, уничтожение.

Обработка ПДн осуществляется до достижения целей обработки ПДн.

Хранение ПДн осуществляется до достижений целей обработки ПДн.

После окончания сроков хранения ПДн подлежат уничтожению. Порядок уничтожения ПДн утверждается приказом министерства.

9. Для достижения цели рассмотрения обращений субъектов ПДн категории 2 обрабатываются ПДн граждан Российской Федерации иных категорий ПДн:

фамилия, имя, отчество, контактные сведения (электронная почта, номер телефона), паспортные данные.

Способ обработки ПДн - смешанный.

Действиями, осуществляемыми с указанными ПДн, являются - использование, уничтожение.

Обработка ПДн осуществляется до достижения цели обработки.

Хранение ПДн осуществляется в течение 5 лет.

После окончания срока хранения ПДн подлежат уничтожению. Порядок уничтожения ПДн утверждается приказом министерства.

10. Для достижения цели участия субъектов ПДн категории 3 в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах и в исполнении судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве иных категорий ПДн:

фамилии, имена и отчества участников судебного процесса, дата и место рождения, место жительства или пребывания, номера телефонов, реквизиты паспорта или иного документа, удостоверяющего личность, идентификационный номер налогоплательщика - физического лица, основной государственный регистрационный номер индивидуального предпринимателя, страховой номер индивидуального лицевого счета, сведения о месте нахождения земельного участка, здания, сооружения, жилого дома, квартиры, транспортного средства, иные сведения об имуществе и о находящихся в банках или иных кредитных организациях денежных средствах участников судебного процесса, если эти сведения относятся к существу дела.

Способ обработки ПДн - смешанный.

Действия, выполняемые с ПДн: хранение, использование.

Обработка ПДн осуществляется до достижения целей обработки ПДн.

Хранение ПДн осуществляется до достижений целей обработки ПДн.

После окончания срока хранения ПДн подлежат уничтожению. Порядок уничтожения ПДн утверждается приказом министерства.

V. Основные принципы, условия и порядок обработки ПДн

11. Обработка ПДн оператором осуществляется на основе принципов, указанных в статье 5 Федерального закона N 152-ФЗ.

12. Обработка ПДн оператором осуществляется с согласия субъектов ПДн, если иное не предусмотрено законодательством Российской Федерации.

13. Обработка ПДн оператором осуществляется с использованием средств вычислительной техники (автоматизированная обработка) и без использования таких средств (неавтоматизированная обработка).

14. Оператор не выполняет обработку биометрических ПДн и специальных категорий ПДн, касающуюся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона N 152-ФЗ и не осуществляет трансграничную передачу ПДн.

15. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта, если иное не предусмотрено Федеральным законом N 152-ФЗ.

16. Все ПДн субъекта ПДн следует получать у него самого или у его полномочного представителя.

Если ПДн субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

17. В министерстве запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношениях субъектов ПДн или иным образом затрагивающих их права и законные интересы, за исключением случаев, предусмотренных федеральными законами.

18. Решение, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии на это согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

19. Министерство обязано разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражения против такого решения, а также разъяснить порядок защиты своих прав и законных интересов.

20. Министерство обязано рассмотреть возражение субъекта ПДн в течение тридцати дней со дня регистрации письменного обращения и уведомить его о результатах рассмотрения такого возражения.

21. Защита ПДн субъекта ПДн от неправомерного их использования или утраты обеспечивается министерством в порядке, установленном федеральным законодательством.

22. Обработка ПДн необходима для осуществления и выполнения возложенных законодательством на министерство функций, полномочий и обязанностей.

23. Обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.

24. Обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

25. Обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

26. Обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.

27. Обработка ПДн необходима для исполнения договора, стороны которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.

Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн.

28. Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию определенному или неопределенному кругу лиц в соответствии с Федеральным законом N 152-ФЗ.

29. Обработка ПДн необходима для осуществления прав и законных интересов министерства или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.

30. В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.

31. Сведения о сотруднике должны быть в любое время исключены из общедоступных источников ПДн по требованию сотрудника либо по решению суда или иных уполномоченных государственных органов.

32. Условием прекращения обработки ПДн может являться достижение целей обработки ПДн, истечение срока действия согласия или отзыв согласия субъекта ПДн на обработку его ПДн, а также выявление неправомерной обработки ПДн.

33. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

Меры защиты, реализуемые оператором при обработке ПДн, включают:

принятие правовых актов министерства и иных документов в области обработки и защиты ПДн;

назначение должностных лиц, ответственных за обеспечение безопасности ПДн в подразделениях и информационных системах оператора;

организацию обучения и проведение методической работы с работниками, осуществляющими обработку ПДн в министерстве;

создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются ПДн;

организацию учета материальных носителей ПДн и информационных систем, в которых обрабатываются ПДн;

хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;

обособление ПДн, обрабатываемых без использования средств автоматизации, от иной информации;

обеспечение раздельного хранения материальных носителей ПДн, на которых содержатся ПДн разных категорий или содержатся ПДн, обработка которых осуществляется в разных целях;

установление запрета на передачу ПДн по открытым каналам связи, вычислительным сетям и информационно-телекоммуникационной сети "Интернет" без применения установленных в министерстве мер по обеспечению безопасности ПДн;

обеспечение защиты документов, содержащих ПДн, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;

осуществление внутреннего контроля за соблюдением в министерстве законодательства Российской Федерации и правовых актов министерства при обработке ПДн;

иные правовые, организационные и технические меры.

34. Передача ПДн в уполномоченные исполнительные органы Российской Федерации (Федеральную налоговую службу Российской Федерации, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и др.) осуществляется в соответствии с требованиями законодательства Российской Федерации.

VI. Права субъектов ПДн

35. Субъект ПДн имеет право:

1) получать информацию, касающуюся обработки оператором его ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;

2) требовать исправления неверных либо неполных ПДн, а также данных, обрабатываемых с нарушением требований законодательства Российской Федерации;

3) требовать блокирования или уничтожения своих ПДн в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

4) требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные ПДн, обо всех произведенных в них изменениях;

5) отозвать согласие на обработку своих ПДн;

6) обжаловать действия или бездействие оператора при обработке своих ПДн в соответствии с законодательством Российской Федерации;

7) осуществлять иные права, предусмотренные законодательством Российской Федерации.

36. В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц.

Отказ оператора в установлении субъектом ПДн запретов и условий, предусмотренных настоящей статьей, не допускается.

37. Субъект ПДн вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих ПДн, ранее разрешенных субъектом ПДн для распространения, к оператору, в случае несоблюдения положений статьи 10.1 Федерального закона N 152-ФЗ или обратиться с таким требованием в суд.

VII. Права и обязанности оператора

38. ПДн могут быть получены оператором от лица, не являющегося субъектом ПДн, при условии предоставления оператором подтверждения наличия оснований, указанных в Федеральном законе N 152-ФЗ.

39. В случае отзыва субъектом ПДн согласия на обработку ПДн оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, предусмотренных Федеральным законом N 152-ФЗ.

40. Оператор вправе отказать субъекту ПДн в выполнении повторного запроса на доступ к своим ПДн, не соответствующего условиям, предусмотренными Федеральным законом N 152-ФЗ.

Такой отказ должен быть мотивированным.

41. В случаях, когда оператор поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет оператор.

Лицо, осуществляющее обработку ПДн по поручению оператора, несет ответственность перед оператором.

42. Оператор обязан:

1) исключать в любое время сведения о субъекте ПДн из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов;

2) прекратить в любое время по требованию субъекта ПДн передачу (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, в течение трех рабочих дней с момента получения требования субъекта ПДн или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу (данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению), указанные в данном требовании ПДн могут обрабатываться только оператором, которому оно направлено;

3) предоставить субъекту ПДн до начала обработки таких ПДн следующую информацию, если ПДн получены не от субъекта ПДн:

наименование и адрес оператора;

цель обработки ПДн и ее правовое основание;

перечень ПДн;

предполагаемые пользователи ПДн;

установленные Федеральным законом N 152-ФЗ права субъекта ПДн;

источник получения ПДн;

4) обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ;

5) принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн;

6) уточнить ПДн либо обеспечить их уточнение, в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов в течение семи рабочих дней со дня представления таких сведений;

7) прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению оператора в случае выявления неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления;

8) уничтожить обрабатываемые ПДн или обеспечить их уничтожение в случае, если обеспечить правомерность обработки ПДн невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн;

9) уведомить субъекта ПДн или его представителя об устранении допущенных нарушений или об уничтожении ПДн, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган;

10) уведомить уполномоченный орган по защите прав субъектов ПДн о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом;

11) обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в порядке, определенном исполнительным органом федеральной власти, уполномоченным в области обеспечения безопасности, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн;

12) разъяснять субъекту ПДн юридические последствия отказа предоставить ПДн, если это является обязательным в соответствии с законодательством Российской Федерации;

13) осуществлять блокирование неправомерно обрабатываемых ПДн;

14) осуществлять прекращение обработки ПДн в соответствии с законодательством Российской Федерации;

15) предоставлять по просьбе субъекта ПДн или его представителя информацию, касающуюся обработки его ПДн, в порядке, установленном законодательством Российской Федерации;

16) предоставлять ПДн по требованию органов дознания, следствия и иных уполномоченных органов по основаниям, предусмотренным действующим законодательством Российской Федерации.

VIII. Заключительные положения

43. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите ПДн.

44. Ответственность оператора и его должностных лиц за нарушение требований законодательства Российской Федерации и правовых актов министерства в сфере обработки и защиты ПДн определяется в соответствии с законодательством Российской Федерации.

45. Иные права и обязанности субъектов ПДн и оператора ПДн определяются законом Российской Федерации в области ПДн.