Приложение. Правила обработки персональных данных в департаменте лесного хозяйства, контроля и надзора за состоянием лесов Магаданской области. Приказ Департамента лесного хозяйства, контроля и надзора за состоянием лесов Магаданской области от 01.11.2016 N 104 "Об утверждении Правил обработки персональных данных в департаменте лесного хозяйства, контроля и надзора за состоянием лесов Магаданской области"

Приложение
к приказу департамента
лесного хозяйства
от "01" ноября 2016 г. N 104

Правила
обработки персональных данных в департаменте лесного хозяйства, контроля и надзора за состоянием лесов Магаданской области

1. Настоящими Правилами обработки персональных данных в департаменте лесного хозяйства, контроля и надзора за состоянием лесов Магаданской области (далее - Правила; департамент) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; содержание обрабатываемых персональных данных для каждой цели обработки персональных данных; категории субъектов, персональные данные которых обрабатываются; сроки обработки и хранения; порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, а также ведения личного дела работника департамента в соответствии с Трудовым кодексом Российской Федерации, статьей 42 Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и другими нормативными правовыми актами Российской Федерации.

2. Настоящие Правила разработаны в соответствии с Трудовым кодексом Российской Федерации, со статьей 42 Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.

3. В настоящих Правилах используются следующие основные понятия:

- персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. Принципы обработки персональных данных:

- обработка персональных данных должна осуществляться на законной и справедливой основе;

- обработка персональных данных должна ограничиваться достижением конкретных, определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица департамента должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

5. Обработка персональных данных в департаменте осуществляется для следующих целей:

- обработка персональных данных осуществляется в соответствии с законодательством о государственной гражданской службе, трудовым законодательством;

- обработка персональных данных необходима для предоставления государственной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

6. Руководитель департамента назначает лицо, ответственное за организацию обработки персональных данных в департаменте, и определяет лиц, уполномоченных на обработку персональных данных, обеспечивающих обработку персональных данных в соответствии с требованиями законодательства и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

7. Должностные лица департамента, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

8. Содержание обрабатываемых персональных данных государственных гражданских служащих и работников департамента, лиц, заключивших договоры гражданско-правового характера (далее - работники), определяется законодательством о государственной гражданской службе, трудовым и гражданским законодательством Российской Федерации.

9. Обработка персональных данных работников осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Работник департамента принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе и в письменной форме. Согласие работника департамента на обработку его персональных данных должно отвечать требованиям, определенным статьей 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

10. При сборе персональных данных уполномоченные должностные лица департамента обязаны предоставить работнику департамента по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных". Если предоставление персональных данных является обязательным в соответствии с федеральным законом, уполномоченные должностные лица департамента обязаны разъяснить работнику департамента юридические последствия отказа предоставить его персональные данные.

11. При обработке персональных данных работников департамента уполномоченные должностные лица обязаны соблюдать следующие требования:

- обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

- персональные данные следует получать лично у работника департамента. В случае возникновения необходимости получения персональных данных работника у третьей стороны, следует известить об этом работника заранее, получить его письменное согласие и сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных;

- запрещается получать, обрабатывать и приобщать к личному делу работника департамента не установленные Федеральными законами от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" и от 27 июля 2006 г. N 152-ФЗ "О персональных данных" персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

- передача персональных данных работника третьей стороне не допускается без письменного согласия работника, за исключением случаев, установленных федеральными законами;

- в случае выявления неполных, неточных или неактуальных персональных данных в срок, не превышающий семи рабочих дней со дня предоставления работником или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица департамента обязаны внести в них необходимые изменения с уведомлением работника или его представителя;

- в случае представления работником или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица департамента в срок, не превышающий семи рабочих дней со дня получения таких сведений, обязаны уничтожить такие персональные данные с уведомлением работника или его представителя;

- в случае выявления недостоверных персональных данных работника или неправомерных действий с ними уполномоченных на обработку должностных лиц при обращении или по запросу работника, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных, обязано осуществить блокирование персональных данных, относящихся к соответствующему работнику департамента, с момента такого обращения или получения такого запроса на период проверки;

- в случае подтверждения факта недостоверности персональных данных работника уполномоченные должностные лица департамента на основании документов, представленных работником, являющимся субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;

- в случае выявления неправомерных действий с персональными данными уполномоченные должностные лица департамента в срок, не превышающий трех рабочих дней с даты такого выявления, обязаны устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений уполномоченные должностные лица департамента в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, обязаны уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченные должностные лица департамента обязаны уведомить работника, являющегося субъектом персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;

- в случае отзыва работником согласия на обработку его персональных данных, уполномоченные должностные лица департамента обязаны прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва;

- хранение персональных данных должно осуществляться в форме, позволяющей определить работника, являющегося субъектом персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

12. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные сделаны общедоступными субъектом персональных данных;

3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии коррупции Российской Федерации.

Обработка специальных категорий персональных данных должна быть

незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

13. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме работника, являющегося субъектом персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации о государственной службе, о порядке выезда и въезда в Российскую Федерацию и другими нормативными правовыми актами Российской Федерации.

Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на материальных носителях информации и с применением технологии ее хранения, которые обеспечивают защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования и распространения.

14. Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

15. Сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего, его супруги (супруга) и несовершеннолетних детей в соответствии с законодательством о государственной гражданской службе в Российской Федерации размещаются на официальном сайте департамента в сети Интернет.

16. Содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, для предоставления государственной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг, определяются Законом Российской Федерации и соответствующими административными регламентами департамента.

17. Содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, определяются гражданским законодательством Российской Федерации.

Сроки обработки и хранения персональных данных работников департамента, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований определяются нормами законодательства Российской Федерации в сфере государственного гражданской службы, трудового законодательства, законодательства о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд, законодательства об архивном деле, законодательства в сфере государственной регистрации актов гражданского состояния.

18. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральным законом.

19. Субъект персональных данных имеет право на получение сведений, указанных в статье 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных". Субъект персональных данных вправе требовать от департамента уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Сведения, указанные в части 7 статье 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", должны быть предоставлены субъекту персональных данных департамента в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения, указанные в части 7 статьи 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя в тридцатидневный срок. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", и ознакомления с такими персональными данными осуществляется не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя департамент обязан дать в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

20. В целях обеспечения защиты персональных данных, хранящихся в личных делах работников, работники имеют право:

- получать полную информацию о своих персональных данных и обработке персональных данных, в том числе автоматизированной;

- осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

- требовать исключения или исправления неверных или неполных персональных данных, а также персональных данных, обработанных с нарушением Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации". Работник при отказе оператора исключить или исправить его персональные данные имеет право заявить в письменной форме начальнику отдела кадрово-организационной деятельности о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

- требовать от начальника отдела административного, кадрового и правового обеспечения уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных изменениях или исключениях;

- обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если работник, являющийся субъектом персональных данных, считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы.

21. Работник, виновный в нарушении норм, регулирующих получение, обработку, хранение и передачу персональных данных другого работника, несет ответственность в соответствии с Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", Трудовым кодексом Российской Федерации и другими федеральными законами.

22. В соответствии со статьей 15 Федерального закона от 27 мая 2003 г. N 58-ФЗ "О системе государственной службы Российской Федерации" и на основе персональных данных гражданских служащих в департаменте формируются и ведутся, в том числе на электронных носителях, реестры гражданских служащих.

23. Отдел административного, кадрового и правового обеспечения деятельности вправе подвергать обработке, том числе автоматизированной, персональные данные гражданских служащих при формировании кадрового резерва.

24. В личное дело работника вносятся его персональные данные и иные сведения, связанные с приемом на работу и увольнением с работы, поступлением на гражданскую службу, ее прохождением и увольнением и необходимые для обеспечения деятельности департамента. Личное дело работника ведется отделом административного, кадрового и правового обеспечения.

25. Персональные данные, внесенные в личные дела работника, иные сведения, содержащиеся в личных делах работников, относятся к сведениям конфиденциального характера, за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации, а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.

26. К личному делу гражданского служащего приобщаются:

- письменное заявление с просьбой о поступлении на гражданскую службу и замещении должности гражданской службы;

- собственноручно заполненная и подписанная гражданином Российской Федерации анкета установленной формы с приложением фотографии;

- документы о прохождении конкурса на замещение вакантной должности гражданской службы (если гражданин назначен на должность по результатам конкурса);

- копия паспорта и копии свидетельств о государственной регистрации актов гражданского состояния;

- копия трудовой книжки или документа, подтверждающего прохождение военной или иной службы;

- копии документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);

- копии решений о награждении государственными наградами, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются);

- копия акта государственного органа о назначении на должность гражданской службы;

- экземпляр служебного контракта, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в служебный контракт;

- копии актов государственного органа о переводе гражданского служащего на иную должность гражданской службы, о временном замещении иной должности гражда