Приложение N 1. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушении законодательства Российской Федерации в сфере персональных данных, Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы "Открытая Республика". Приказ Государственного комитета Республики Башкортостан по информатизации и вопросам функционирования системы "Открытая Республика" от 27.12.2017 N 163-ОД "О введении в действие документов, направленных на обеспечение выполнения требований, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами"

Приложение N 1

к приказу

Государственного комитета

Республики Башкортостан

по информатизации и вопросам

функционирования системы

"Открытая Республика"

от 27 декабря 2017 г. N 163-ОД

Правила
обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушении законодательства Российской Федерации в сфере персональных данных, Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы "Открытая Республика"

I. Общие положения

1.1. Настоящие Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональной данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы "Открытая Республика" (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.2. Настоящие Правила определяют цели обработки персональных данных, категории субъектов, персональные данные которых обрабатываются в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы "Открытая Республика" (далее - Госкомитет РБ по информатизации), содержание обрабатываемых персональных данных, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.

II. Цели обработки персональных данных

2.1. Обработка персональных данных осуществляется Госкомитетом РБ по информатизации в следующих целях:

- выполнение требований трудового законодательства Российской Федерации и законодательства о государственной гражданской службе Российской Федерации в части ведения бухгалтерского учета, исполнение условий договоров гражданско-правового характера;

- выполнение требований трудового законодательства Российской Федерации и законодательства о государственной гражданской службе Российской Федерации и Республики Башкортостан в части ведения кадрового учета, заключение служебных контрактов, трудовых и иных договоров, ведение личных дел (карточек), ведение воинского учета;

- рассмотрение обращений граждан.

III. Категории субъектов, персональные данные которых обрабатываются сроки их обработки и хранения

3.1. К субъектам персональных данных, персональные данные которых обрабатываются в Госкомитете РБ по информатизации в соответствии настоящими Правилами, относятся:

1) государственные гражданские служащие Республики Башкортостан, замещающие должность государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации (далее - гражданские служащие);

2) граждане, претендующие на замещение должностей государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации;

3) работники Госкомитета РБ по информатизации, замещающие должности, не являющиеся должностями государственной гражданской службы Республики Башкортостан;

4) граждане, претендующие на замещение должностей, не являющихся должностями государственной гражданской службы Республики Башкортостан;

5) лица, замещающие должности руководителей организаций, находящихся в ведении Госкомитета РБ по информатизации;

6) граждане, претендующие на замещение должностей руководителей и организаций, находящихся в ведении Госкомитета РБ по информатизации;

7) лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1-6 пункта 3.1 настоящих Правил;

8) лица, представляемые к награждению, наградные материалы по которым представлены в Госкомитете РБ по информатизации;

9) граждане, обратившиеся в Госкомитет РБ по информатизации в соответствии с Федеральным законом от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".

3.2. Персональные данные обрабатываются в сроки, обусловленные заявленными целями их обработки.

3.3. Обработка персональных данных осуществляется с момента их получения Госкомитетом РБ по информатизации и прекращается:

- по достижении целей обработки персональных данных;

- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

3.4. Сроки хранения персональных данных, содержащиеся на материальных носителях информации, устанавливаются в соответствии номенклатурой дел Госкомитета РБ по информатизации.

IV. Содержание обрабатываемых персональных данных

4.1. В соответствии с целями обработки персональных данных, указанными в п. 2.1 настоящих Правил, Госкомитетом РБ по информатизации осуществляется обработка следующих персональных данных:

1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена (или) отчества, в случае их изменения);

2) число, месяц, год рождения;

3) место рождения;

4) информация о гражданстве (в том числе предыдущие гражданства, инфе гражданства);

5) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

6) адрес места жительства (адрес регистрации, фактического проживание):

7) номер контактного телефона или сведения о других способах связи;

8) реквизиты страхового свидетельства государственного пенсионного страхования;

9) идентификационный номер налогоплательщика;

10) реквизиты страхового полиса обязательного медицинского страхования;

11) реквизиты свидетельства государственной регистрации актов гражданского состояния;

12) семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);

13) сведения о трудовой деятельности;

14) сведения о воинском учете и реквизиты документов воинского учета;

15) сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

16) сведения об ученой степени;

17) информация о владении иностранными языками, степень владения;

18) медицинское заключение по установленной форме об отсутствии гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;

19) фотография;

20) сведения о прохождении государственной гражданской службы (о работе), в том числе:

основание и дата поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы (на работу), основание и дата назначения, перевода, перемещения на иную должность, наименование замещаемых должностей с указанием структурных подразделений, размера денежного содержания (денежного вознаграждения, заработной платы), результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;

21) информация, содержащаяся в служебном контракте, трудовом договоре, дополнительных соглашениях к ним;

22) сведения о пребывании за границей;

23) информация о классном чине государственной гражданской службы Республики Башкортостан (в том числе дипломатическом ранге, воинском или специальном звании, классном чине;

правоохранительной службы, классном чине федеральной гражданской службы), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);

24) информация о наличии или отсутствии судимости;

25) информация об оформленных допусках к государственной тайне;

26) государственные награды, иные награды и знаки отличия;

27) сведения о профессиональной переподготовке и (или) повышении квалификации;

28) информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания (заработной платы);

29) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;

30) данные справки о доходах с предыдущего места работы;

31) банковские реквизиты;

32) сведения, содержащиеся в исполнительных листах, постановлениях судебных приставов, решениях суда.

33) сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством

34) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.2 Правил обработки персональных данных в Госкомитете РБ по информатизации.

V. Получение персональных данных

5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных, а в случаях, предусмотренных федеральным законом, дает согласие на обработку своих персональных данных. Субъект персональных данных принимает решение и дает согласие свободно, своей волей и в своем интересе.

Типовая форма согласия субъекта на обработку персональных данных представлена в приложении N 1 к настоящим Правилам.

5.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

5.3. В случаях, предусмотренных законодательством Российской Федерации, персональные данные могут быть получены от лица, не являющегося субъектом персональных данных (третьего лица).

5.4. Если персональные данные получены не от субъекта персональных данных, должностные лица, ответственные за предоставление (осуществление) соответствующей функции, в случаях, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", до начала обработки таких персональных данных обязаны уведомить субъекта персональных данных.

5.5. В случае отказа субъекта персональных данных предоставить свои персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", лицо, ответственное за предоставление (осуществление) функции, обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

VI. Обработка персональных данных

6.1. Обработка персональных данных в Госкомитете РБ по информатизации осуществляется гражданскими служащими, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные.

Гражданские служащие, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные, подписывают соглашение о неразглашении персональных данных и обязательство гражданского служащего, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей согласно приложению N 2 к настоящим Правилам.

6.2. Перечень должностей гражданских служащих, которые осуществляют обработку персональных данных либо имеют доступ к персональным данным (далее - оператор), устанавливается приказом Госкомитета РБ по информатизации.

6.3. Все сотрудники, имеющие доступ к персональным данным субъектов, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), настоящими Правилами и иными правовыми актами Госкомитета РБ по информатизации по вопросам обработки персональных данных. Обязанность ознакомить сотрудников с законодательством и другими правовыми актами, регулирующими порядок работы с персональными данными, возлагается на отдел государственной службы и мобилизационной работы Госкомитета РБ по информатизации.

Форма листа ознакомлений приведена в приложении N 3 к настоящим Правилам.

6.4. Запрещается обработка персональных данных:

- лицами, не допущенными к их обработке;

- под диктовку.

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

VI. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

6.1. В случае достижения цели обработки персональных данных, оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

6.2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

6.4. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 5.1-5.3 настоящих Правил, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок, не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6.5. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению, производится на основании акта уничтожения персональных данных согласно приложению N 4 к настоящим Правилам.

VII. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

7.1. Госкомитет РБ по информатизации устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

- издание локальных актов по вопросам обработки и защиты персональных данных;

- назначение ответственного за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Госкомитете РБ по информатизации;

- определение лиц, уполномоченных на обработку персональных данных Госкомитетом РБ по информатизации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима обработки персональных данных;

- ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Госкомитета РБ по информатизации в отношении обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;

- получение согласий на обработку персональных данных у субъектов персональных данных (их законных представителей) за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Госкомитета РБ по информатизации в отношении обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, локальным актам Госкомитета РБ по информатизации;

- опубликование на официальном сайте Госкомитета РБ по информатизации документов, определяющих политику Госкомитета РБ по информатизации в отношении обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, реализуемые требования к защите персональных данных;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".