Приложение 1. Регламент действий при обращении субъектов персональных данных или Роскомнадзора в администрацию Чебаркульского муниципального района. Постановление Администрации Чебаркульского муниципального района Челябинской области от 03.06.2022 N 640 "Об обработке и защите персональных данных в администрации Чебаркульского муниципального района"

Приложение 1
к Политике обработки и защиты
персональных данных в администрации
Чебаркульского муниципального района

Регламент
действий при обращении субъектов персональных данных или Роскомнадзора в администрацию Чебаркульского муниципального района

1. Область применения

Настоящий документ регулирует отношения, возникающие при выполнении обязательств согласно требованиям статей 14, 20 и 21 Федерального закона "О персональных данных".

Положения настоящего Регламента распространяются на действия при обращении либо при получении запроса субъекта персональных данных или его законного представителя, при обращении уполномоченного органа по защите прав субъектов персональных данных в администрацию Чебаркульского муниципального района (далее - Администрация). Эти действия направлены на подтверждение наличия, ознакомление, уточнение, уничтожение или отзыв согласия на обработку персональных данных, а также на устранение нарушений законодательства, допущенных при обработке персональных данных.

2. Определения

- Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

- Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональных данных.

- В данном Регламенте Оператором является Администрация или должностное лицо Администрации.

- Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

- Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

- Субъектами персональных данных Администрации являются сотрудники Администрации, их близкие родственники, уволенные сотрудники Администрации, лица, обратившиеся в Администрацию, их официальные представители.

3. Ответственность

3.1. Ответственность за корректировку, проверку и пересмотр настоящего Регламента несет ответственный за организацию обработки персональных данных, начальник отдела правового и кадрового обеспечения, администратор информационной безопасности.

3.2. Организация и проведение работ по ответам на запросы, устранению нарушений, а также уточнению, блокированию и уничтожению персональных данных возлагается на ответственного за организацию обработки персональных данных.

3.3. Ответственность за правильное применение настоящего Регламента несут руководители подразделений.

4. Действия в ответ на запросы по персональным данным

4.1. В случае поступления запроса субъекта персональных данных или его законного представителя по персональным данным, либо уполномоченного органа по защите прав субъектов персональных данных выполняются следующие действия:

4.1.1. При получении запроса на наличие персональных данных.

Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона "О персональных данных", субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя, согласно пункту 2 статьи 20 Федерального закона "О персональных данных", оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона "О персональных данных" или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

4.1.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, согласно пункту 3 статьи 20 Федерального закона "О персональных данных".

4.1.3. Внесение изменений в персональные данные субъекта, если они являются неполными, неточными или неактуальными.

В случае выявления неточных персональных данных, согласно пункту 1 статьи 21 Федерального закона "О персональных данных", оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных, согласно пункту 2 статьи 21 Федерального закона "О персональных данных", оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

Если факт недостоверности персональных данных не подтвержден, оператор обязан уведомить субъекта персональных данных или его представителя, либо уполномоченный орган по защите прав субъектов персональных данных об отказе изменения персональных данных.

4.1.4. Уничтожение персональных данных субъекта, если они являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

В случае выявления неправомерной обработки персональных данных, согласно пункту 3 статьи 21 Федерального закона "О персональных данных", оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональных данных или обеспечить их уничтожение.

Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя, либо запрос уполномоченного органа по защите прав субъектов ПД были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4.1.5. При получении запроса на отзыв персональных данных.

Оператор, согласно пункту 5 статьи 21 Федерального закона "О персональных данных", обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональных данных или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

4.2. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 4.1.4, 4.1.5 настоящего Регламента, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

5. Порядок приема запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

При получении запросов, перечисленных в разделе 4 настоящего Регламента сотрудники Администрации выполняют следующие действия:

5.1. В случае поступления запроса необходимо зарегистрировать его в "Журнале учета обращений субъектов персональных данных по вопросам обработки персональных данных" (Приложение 1).

5.2. При личном обращении субъекта персональных данных или его законного представителя по персональных данных в Администрацию, сотрудник Администрации предоставляет форму запроса для заполнения субъектом персональных данных или его законным представителем по персональных данных (Приложение 2) или принимает запрос в произвольной форме.

Необходимые сведения, которые должны присутствовать в подаваемом запросе:

- фамилия, имя, отчество субъекта персональных данных или его законного представителя по персональных данных;

- номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя по персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;

- подпись субъекта персональных данных или его законного представителя по персональных данных.

5.3. После принятия заполненной формы или запроса в произвольной форме сотрудник сверяет сведения в запросе с представленными ему документами.

5.4. В случае неправильной формы запроса или отсутствии документов, удостоверяющих личность субъекта персональных данных или его законного представителя по персональных данных, сотрудник вправе отказать в приеме запроса и потребовать переделать запрос в соответствии с Федеральным законом "О персональных данных".

5.5. При отказе субъекта персональных данных или его законного представителя по персональных данных переделать запрос, сотрудник делает об этом запись в "Журнале учета обращений субъектов персональных данных по вопросам обработки персональных данных".

5.6. Персональные данные не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает работника от взятых им обязательств по неразглашению сведений ограниченного доступа.

5.7. Если запрос оформлен в соответствии с требованиями законодательства, он принимается к обработке и передается уполномоченному лицу.