Постановление Государственного Собрания Республики Мордовия от 22.08.2024 N 1151-VII П "О Положении об обработке и защите персональных данных в Государственном Собрании Республики Мордовия и Аппарате Государственного Собрания Республики Мордовия"

В соответствии со статьей 86 Конституции Республики Мордовия Государственное Собрание Республики Мордовия постановляет:

1. Утвердить прилагаемое Положение об обработке и защите персональных данных в Государственном Собрании Республики Мордовия и Аппарате Государственного Собрания Республики Мордовия.

2. Настоящее постановление вступает в силу со дня его официального опубликования.

И.о. Председателя Государственного Собрания Республики Мордовия

Н.В. Долматова

г. Саранск

22 августа 2024 года

N 1151-VII П

Утверждено
постановлением
Государственного Собрания
Республики Мордовия
от 22 августа 2024 года N 1151-VII П

Положение
об обработке и защите персональных данных в Государственном Собрании Республики Мордовия и Аппарате Государственного Собрания Республики Мордовия

Глава 1. Общие положения

1. Настоящее Положение об обработке и защите персональных данных в Государственном Собрании Республики Мордовия и Аппарате Государственного Собрания Республики Мордовия (далее - Положение) разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) и иными нормативными правовыми актами Российской Федерации и определяет порядок обработки персональных данных, раскрывает основные категории персональных данных, обрабатываемых оператором, цели, способы и принципы обработки, права и обязанности оператора при обработке, права субъектов персональных данных.

2. Обработка и защита персональных данных в Государственном Собрании Республики Мордовия (далее - Государственное Собрание) и Аппарате Государственного Собрания Республики Мордовия (далее - Аппарат) осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных и настоящим Положением.

3. Аппарат является оператором, организующим и осуществляющим в соответствии с Федеральным законом N 152-ФЗ обработку персональных данных (далее - оператор).

4. Понятия и термины, используемые в настоящем Положении, применяются в значениях, определенных Федеральным законом N 152-ФЗ.

5. Действие настоящего Положения не распространяется на отношения, связанные с обработкой персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Глава 2. Принципы, цели и способы обработки персональных данных

6. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

7. Обработка персональных данных в Государственном Собрании и Аппарате выполняется с использованием средств автоматизации и без использования средств автоматизации.

8. Обработка персональных данных в Государственном Собрании и Аппарате осуществляется на основе принципов, установленных статьей 5 Федерального закона N 152-ФЗ.

9. Обработке подлежат только персональные данные, которые отвечают целям их обработки в рамках компетенций оператора.

10. Обработка персональных данных в Государственном Собрании и Аппарате осуществляется в целях:

1) осуществления полномочий Государственного Собрания в соответствии со статьей 6 Закона Республики Мордовия от 26 марта 2004 года N 34-З "О Государственном Собрании Республики Мордовия";

2) осуществления депутатской деятельности и обеспечения деятельности Государственного Собрания, Аппарата;

3) реализации служебных (трудовых) отношений в Аппарате, в том числе в целях содействия государственным гражданским служащим Аппарата в прохождении государственной гражданской службы;

4) содействия в выполнении должностных обязанностей работниками Аппарата, занимающими должности, не отнесенные к должностям государственной гражданской службы;

5) содействия в поступлении на государственную гражданскую службу гражданам, претендующим на замещение должностей государственной гражданской службы в Аппарате;

6) формирования кадрового резерва государственных гражданских служащих в Аппарате;

7) обучения и должностного роста, учета результатов исполнения государственными гражданскими служащими Аппарата должностных обязанностей;

8) содействия работникам Аппарата, занимающим должности, не отнесенные к должностям государственной гражданской службы, в получении образования и продвижении по службе, осуществления контроля количества и качества выполняемой работы;

9) обеспечения личной безопасности депутатов Государственного Собрания, лиц, замещающих иные государственные должности Республики Мордовия, государственных гражданских служащих Аппарата и членов их семей, а также работников Аппарата, занимающих должности, не отнесенные к должностям государственной гражданской службы;

10) обеспечения государственным гражданским служащим Аппарата, работникам Аппарата, занимающим должности, не отнесенные к должностям государственной гражданской службы, установленных законодательством Российской Федерации условий труда, социальных льгот, гарантий и компенсаций, сохранности принадлежащего им имущества;

11) соблюдения законодательства о государственной гражданской службе и трудового законодательства, а также, законодательства о противодействии коррупции;

12) рассмотрения обращений граждан Российской Федерации в соответствии с Федеральным законом от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

13) награждения и представления к награждению наградами и поощрениями Государственного Собрания;

14) проведения Государственным Собранием республиканских конкурсов;

15) заключения и исполнения контрактов (договоров);

16) аккредитации журналистов при Государственном Собрании;

17) обеспечения пропускного режима в здании Государственного Собрания;

18) иных целях обеспечения деятельности Государственного Собрания в соответствии с законодательством Российской Федерации и Республики Мордовия.

Глава 3. Перечень субъектов персональных данных, состав обрабатываемых персональных данных

11. В зависимости от целей, предусмотренных пунктом 10 настоящего Положения, в Государственном Собрании и Аппарате обрабатываются персональные данные следующих субъектов персональных данных:

депутатов Государственного Собрания, лиц, замещающих иные государственные должности Республики Мордовия;

государственных гражданских служащих Аппарата, в том числе уволенных с государственной гражданской службы, и членов их семей;

работников Аппарата, занимающих должности, не отнесенные к должностям государственной гражданской службы;

помощников депутатов Государственного Собрания;

лиц, претендующих на замещение вакантных должностей в Аппарате;

лиц, представляемых к награждению или поощрению, материалы по которым представлены в Государственное Собрание;

граждан, обратившихся в Государственное Собрание в соответствии с Федеральным законом от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

представителей средств массовой информации;

членов Общественной молодежной палаты (Молодежного парламента) при Государственном Собрании;

лиц, назначение (избрание), согласование на должность, освобождение от должности которых осуществляется Государственным Собранием в соответствии со статьей 6 Закона Республики Мордовия от 26 марта 2004 года N 34-З "О Государственном Собрании Республики Мордовия";

сенатора Российской Федерации - представителя от Государственного Собрания;

помощников сенатора Российской Федерации - представителя от Государственного Собрания;

граждан, являющихся стороной договора или государственного контракта с Аппаратом, Государственным Собранием;

иных физических лиц, персональные данные которых представлены в Государственное Собрание.

Согласие субъекта персональных данных оформляется письменно по форме, утвержденной распоряжением Председателя Государственного Собрания.

12. В рамках своих полномочий оператор обрабатывает следующие персональные данные:

1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);

2) число, месяц, год рождения;

3) место рождения;

4) информация о гражданстве (изменение гражданства, дата и причина, наличие гражданства (подданства), вида на жительство иностранного государства);

5) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

6) адрес места жительства (адрес регистрации, фактического проживания), дата регистрации по месту жительства;

7) номер контактного телефона или сведения о других способах связи;

8) реквизиты страхового свидетельства государственного пенсионного страхования;

9) идентификационный номер налогоплательщика;

10) реквизиты страхового медицинского полиса обязательного медицинского страхования;

11) реквизиты свидетельств государственной регистрации актов гражданского состояния;

12) сведения о семейном положении, составе семьи: степень родства, фамилии, имена, отчества (при наличии), даты рождения, места рождения, места работы, адреса регистрации по месту жительства (месту пребывания), адреса фактического проживания близких родственников (отец, мать, братья, сестры и дети), а также супруги (супруга), бывших супругов, супругов братьев и сестер, братьев и сестер супругов;

13) сведения о трудовой деятельности;

14) сведения о воинском учете и реквизиты документов воинского учета;

15) сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

16) сведения об ученой степени, ученом звании;

17) информация о владении иностранными языками и языками народов Российской Федерации;

18) медицинское заключение по установленной форме об отсутствии заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;

19) фотография;

20) сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;

21) информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;

22) сведения о пребывании за границей;

23) информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);

24) информация о наличии или об отсутствии судимости;

25) информация об оформленных допусках к государственной тайне;

26) государственные награды, иные награды и знаки отличия;

27) сведения о профессиональной переподготовке и (или) повышении квалификации;

28) информация об отпусках всех видов и о днях отдыха;

29) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;

30) сведения о размещении информации в информационно-телекоммуникационной сети "Интернет";

31) номер расчетного счета и реквизиты банка;

32) сведения о проверках в отношении субъекта персональных данных;

33) сведения о социальных и налоговых льготах, на которые субъект персональных данных имеет право в соответствии с действующим законодательством;

34) иные персональные данные, необходимые для достижения целей, указанных в пункте 10 настоящего Положения.

Глава 4. Права и обязанности субъектов персональных данных и оператора

13. Субъекты персональных данных имеют право:

получать информацию, касающуюся обработки их персональных данных в Государственном Собрании и Аппарате, в том числе и об источниках их получения;

требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

обжаловать неправомерные действия или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

отзывать согласие на обработку персональных данных;

на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

14. Субъекты персональных данных обязаны:

сообщать достоверную информацию о себе и представлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и настоящим Положением;

сообщать оператору об уточнении (обновлении, изменении) своих персональных данных.

15. Оператор имеет право:

в соответствии с частью 3 статьи 6 Федерального закона N 152-ФЗ поручить обработку персональных данных другому лицу с согласия субъекта персональных данных;

в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона N 152-ФЗ;

отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона N 152-ФЗ;

осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, указанных в части 2 статьи 22 Федерального закона N 152-ФЗ;

определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ.

16. Оператор обязан:

соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные, данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона N 152-ФЗ;

при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона N 152-ФЗ;

разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные;

предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;

в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении при получении запроса субъекта персональных данных или его представителя дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона N 152-ФЗ или иного федерального закона, являющегося основанием для такого отказа;

принимать необходимые и достаточные меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.

Глава 5. Порядок и условия обработки персональных данных

17. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.

18. К обработке персональных данных допускаются только те государственные гражданские служащие Аппарата, работники Аппарата, занимающие должности, не отнесенные к должностям государственной гражданской службы, в должностные обязанности которых входит обработка персональных данных.

19. Лицо, ответственное за организацию обработки персональных данных, при организации доступа к персональным данным обязано ознакомить субъекта персональных данных с требованиями федерального законодательства и правовых актов Государственного Собрания к обработке персональных данных и обеспечению безопасности персональных данных.

20. Лицам, допущенным к обработке персональных данных, предоставляется доступ только к персональным данным, необходимым для выполнения их служебных обязанностей в пределах возложенных соответствующих задач и функций.

21. Обработка персональных данных осуществляется путем:

1) получения оригиналов необходимых документов;

2) копирования оригиналов документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях);

4) формирования персональных данных в ходе работы с персональными данными;

5) внесения персональных данных в информационные системы Государственного Собрания;

6) получения персональных данных непосредственно от субъектов персональных данных, а также путем получения их от иных источников при условии соблюдения части 8 статьи 9 Федерального закона N 152-ФЗ.

22. Передача (распространение, предоставление, доступ) и использование персональных данных субъектов персональных данных осуществляются в случаях и в порядке, предусмотренных законодательством Российской Федерации.

23. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, установленных статьей 10.1 Федерального закона N 152-ФЗ.

24. Защита персональных данных от несанкционированного доступа, неправомерного использования или утраты обеспечивается оператором в порядке, устанавливаемом законодательством Российской Федерации.

25. Сроки обработки и хранения персональных данных в Государственном Собрании, Аппарате определяются в соответствии с трудовым законодательством Российской Федерации, законодательством Российской Федерации о государственной гражданской службе и об архивном деле в Российской Федерации и номенклатурой дел Государственного Собрания.

26. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных или иного стороннего лица, не дольше чем этого требуют цели их обработки. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

27. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

Глава 6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов персональных данных на доступ к персональным данным

28. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование с момента такого обращения или получения указанного запроса на период проверки.

29. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение и снять блокирование персональных данных.

30. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в установленный Федеральным законом N 152-ФЗ срок обязан уничтожить такие персональные данные или обеспечить их уничтожение.

31. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом N 152-ФЗ или другими федеральными законами.

32. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки, а в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, - уничтожить персональные данные или обеспечить их уничтожение, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом N 152-ФЗ или другими федеральными законами.

33. Уничтожение персональных данных осуществляется в порядке, установленном Инструкцией по работе с документами в Государственном Собрании, утвержденной распоряжением Председателя Государственного Собрания Республики Мордовия от 21 августа 2024 года N 367-рп, и в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденными приказом Роскомнадзора от 28 октября 2022 года N 179.

34. Запросы субъектов персональных данных или их представителей на получение информации, касающейся обработки персональных данных субъектов персональных данных, рассматриваются государственными гражданскими служащими Аппарата, работниками Аппарата, занимающими должности, не отнесенные к должностям государственной гражданской службы, в должностные обязанности которых входит обработка персональных данных.

Глава 7. Организация защиты персональных данных

35. С целью обеспечения безопасности персональных данных при их обработке Государственное Собрание и Аппарат принимают необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, от несанкционированного уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

36. Под безопасностью информации понимают состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

37. Задачами системы защиты персональных данных являются исключение или минимизация ущерба от возможной реализации случайных или злонамеренных воздействий на персональные данные, а также прогнозирование и предотвращение таких воздействий.

38. К правовым мерам защиты персональных данных относится принятие локальных правовых актов в Государственном Собрании и Аппарате в соответствии с федеральным законодательством в области защиты персональных данных.

39. К организационным мерам защиты персональных данных относятся:

назначение в Государственном Собрании и Аппарате ответственных за обеспечение безопасности информации;

разработка и поддержание в актуальном состоянии организационно распорядительных документов, регламентирующих порядок обработки персональных данных, создание и функционирование системы защиты персональных данных;

информирование лиц, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;

осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных и безопасности персональных данных в Государственном Собрании, Аппарате требованиям законодательства Российской Федерации и иных нормативных правовых актов о персональных данных, в том числе требованиям к защите персональных данных;

обучение, периодическое повышение квалификации сотрудников, ответственных за организацию обработки и обеспечение безопасности информации, сотрудников, непосредственно выполняющих мероприятия по обеспечению безопасности персональных данных.

40. К техническим мерам защиты относится использование программно-аппаратных средств, выполняющих самостоятельно или в комплексе с другими средствами функции защиты персональных данных, и методов защиты, в том числе:

использование программной или программно-технической защиты от несанкционированного доступа к информационным ресурсам автоматизированных рабочих мест, на которых обрабатываются персональные данные;

использование средств защиты от вредоносного программного обеспечения;

обеспечение раздельной фиксации на материальных носителях персональных данных, имеющих различную цель обработки, или их раздельной обработки;

обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

41. Оператором применяются сертифицированные средства защиты информации, соответствующие требованиям, установленным уполномоченными органами в области технической защиты информации.

Глава 8. Ответственность за разглашение сведений, содержащих персональные данные, утрату документов, содержащих такую информацию, и нарушение порядка работы с такой информацией

42. Разглашение сведений, содержащих персональные данные, или утрата носителей таких сведений влечет за собой последствия, предусмотренные законодательством Российской Федерации и иными нормативными правовыми актами в области персональных данных.

43. Лица, виновные в разглашении или утрате сведений, содержащих персональные данные, несут ответственность в соответствии с законодательством Российской Федерации.

44. В случае утраты носителей сведений, содержащих персональные данные, либо разглашения этих сведений, виновные лица обязаны уведомить непосредственного руководителя для последующего принятия решения о проведении служебной проверки.

45. Контроль за исполнением требований настоящего Положения возлагается на руководителей структурных подразделений Аппарата.