Приложение N 1. Правила обработки персональных данных в министерстве экономического развития саратовской области. Приказ министерства экономического развития Саратовской области от 20.12.2018 N 2866 "О работе с персональными данными" (с изменениями и дополнениями)

Приложение N 1
к приказу министерства экономического
развития Саратовской области
от 20.12.2018 N 2866

Правила
обработки персональных данных в министерстве экономического развития саратовской области

I. Общие положения

1. Настоящие Правила (далее - Правила) устанавливают порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных в министерстве экономического развития Саратовской области (далее - министерство).

2. Настоящие Правила определяют политику министерства как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

3. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" и иными нормативными правовыми актами, регулирующими вопросы обработки персональных данных.

4. Обработка персональных данных в министерстве осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в сфере персональных данных.

5. Нарушение установленного законом порядка обработки персональных данных влечет ответственность виновных должностных лиц министерства в соответствии с законодательством Российской Федерации.

II. Условия и порядок обработки персональных данных государственных гражданских служащих (работников) министерства

6. Персональные данные государственных гражданских служащих работников министерства, (далее - гражданских служащих, работники министерства), граждан, претендующих на замещение должностей государственной гражданской службы министерства (далее - граждан, претендующих на замещение должностей гражданской службы министерства) обрабатываются в целях обеспечения:

а) кадровой работы, в том числе в целях содействия гражданским служащим министерства в прохождении государственной гражданской службы, формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, обеспечения гражданским служащим, работникам министерства установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции;

б) бухгалтерского учета.

7. Обработка персональных данных гражданских служащих, работников министерства, граждан, претендующих на замещение должностей гражданской службы министерства, осуществляется на основании письменного согласия указанных субъектов персональных данных, как с использованием средств автоматизации, так и без использования таких средств.

Письменное согласие гражданских служащих, работников министерства действует со дня их поступления на государственную гражданскую службу и на время ее прохождения.

Обработка персональных данных без согласия субъектов персональных данных, указанных в настоящем пункте допускается исключительно при наличии оснований, указанных в Федеральном законе "О персональных данных".

8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных гражданских служащих, работников министерства, граждан, претендующих на замещение должностей гражданской службы министерства, осуществляется путем:

8.1. получения оригиналов необходимых документов (заявление, трудовая книжка, иные документы, предоставляемые в отдел кадровой работы управления кадровой и организационной работы министерства);

8.2. копирования оригиналов документов;

8.3. внесения сведений в учетные формы (на бумажных и электронных носителях);

8.4. формирования персональных данных в ходе кадровой работы;

8.5. внесения персональных данных в информационные системы министерства.

9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от гражданских служащих, работников министерства, граждан, претендующих на замещение должностей гражданской службы министерства.

10. В случае возникновения необходимости получения персональных данных гражданского служащего, работников министерства, гражданина, претендующего на замещение должности гражданской службы министерства, у третьей стороны, гражданскому служащему министерства, гражданину, претендующему на замещение должности гражданской службы министерства сообщается информация, указанная в части 3 статьи 18 Федерального закона "О персональных данных", за исключением случаев, предусмотренных Федеральным законом "О персональных данных".

11. Запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего министерства персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

12. При сборе персональных данных сотрудник министерства, осуществляющий сбор (получение) персональных данных непосредственно от гражданских служащих, работников министерства, граждан, претендующих на замещение должностей гражданской службы министерства, разъясняет указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

13. Передача (распространение, предоставление) и использование персональных данных гражданских служащих, работников министерства, граждан, претендующих на замещение должностей гражданской службы министерства, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

III. Условия и порядок обработки персональных данных субъектов в соответствии с задачами и функциями, возложенными на министерство нормативными правовыми актами, в том числе, связанными с оказанием государственных услуг и осуществлением государственных функций

14. В министерстве обработка персональных данных осуществляется в целях реализации задач и функций, возложенных на него нормативными правовыми актами, в том числе связанных с предоставлением государственных услуг и исполнением государственных функций:

14.1. обеспечение своевременного и в полном объеме рассмотрения обращений граждан по вопросам, относящимся к компетенции министерства;

14.2. реализация мероприятий в рамках компетенции министерства, предусмотренных подпрограммой "Развитие малого и среднего предпринимательства в Саратовской области" государственной программы "Развитие экономического потенциала и повышение инвестиционной привлекательности региона до 2020 года", утвержденной постановлением Правительства Саратовской области от 11 октября 2013 года N 546-П;

14.3. реализация полномочий министерства, предусмотренных законодательством Саратовской области о государственной поддержке технопарков и кластеров в Саратовской области;

14.4. выдача лицензий на розничную продажу алкогольной продукции в Саратовской области;

14.5. осуществление регионального государственного контроля (надзора) в области розничной продажи алкогольной и спиртосодержащей продукции в Саратовской области (за исключением государственного контроля за предоставлением деклараций об объеме собранного винограда для производства винодельческой продукции);

14.6. осуществление в пределах компетенции министерства контроля за соблюдением законодательства Российской Федерации и иных нормативных правовых актов Российской Федерации о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд;

14.7. осуществление закупок товаров, работ, услуг для обеспечения нужд министерства;

14.8. реализация мероприятий, направленных на формирование механизма оказания государственных услуг в электронном виде, участие в создании и поддержке необходимых для этого информационных систем.

15. Обработка персональных данных, указанных в пункте 14 настоящих Правил, осуществляется без согласия субъектов персональных данных в случаях, предусмотренных пунктами 2, 3, 4, 5 части 1 статьи 6 Федерального закона "О персональных данных", в соответствии с положениями Федерального закона от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", Федерального закона от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Федерального закона от 22 ноября 1995 года N 171-ФЗ "О государственном регулировании производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции и об ограничении потребления (распития) алкогольной продукции", Федерального закона от 24 июля 2007 года N 209-ФЗ "О развитии малого и среднего предпринимательства в Российской Федерации", Федерального закона от 5 апреля 2013 года N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" и иными нормативными правовыми актами, устанавливающими задачи и функции, возложенные на министерство, в том числе связанные с предоставлением государственных услуг и исполнением государственных функций.

16. Обработка персональных данных, указанных в пункте 14 настоящих Правил, осуществляется структурными подразделениями министерства, участвующими в реализации задач и функций, возложенных на него нормативными правовыми актами, в том числе связанных с оказанием государственных услуг и осуществлением государственных функций, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

17. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, указанных в пункте 14 настоящих Правил, осуществляется путем:

17.1. получения оригиналов необходимых документов (заявление);

17.2. копирование необходимых документов;

17.3. внесение сведений в учетные формы (на бумажных и электронных носителях).

18. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, указанных в пункте 14 настоящих Правил, осуществляется путем получения персональных данных непосредственно от субъектов персональных данных либо их представителей.

19. При обработке персональных данных, указанных в пункте 14 настоящих Правил, запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

20. При сборе персональных данных, указанных в пункте 14 настоящих Правил, уполномоченное должностное лицо министерства, непосредственно осуществляющее получение персональных данных, обязано разъяснить субъектам персональных данных юридические последствия отказа предоставить персональные данные.

21. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, указанных в пункте 14 настоящих Правил, осуществляется только в случаях и в порядке, предусмотренных федеральными законами.

IV. Правила обработки персональных данных, осуществляемой без использования средств автоматизации

22. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) осуществляется с учетом требований постановления Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

23. Неавтоматизированная обработка персональных данных осуществляется как на бумажных носителях, так и в электронном виде на материальных носителях информации.

24. Неавтоматизированная обработка персональных данных в электронном виде должна осуществляться на съемных материальных носителях информации.

25. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на съемных материальных носителях информации необходимо принимать организационные (охрана помещений) и технические (установка сертифицированных средств защиты информации) меры, исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.

26. Учет материальных носителей информации, содержащих персональные данные, осуществляется служебным делопроизводством. Допускается ведение журналов учета в электронном виде.

27. В ходе неавтоматизированной обработки персональных данных уполномоченными должностными лицами министерства не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.

28. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (частичное удаление).

29. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

V. Порядок обработки персональных данных субъектов персональных данных в информационных системах

30. Классификация информационных систем персональных данных министерства, осуществляется в порядке, установленном законодательством Российской Федерации.

31. Гражданским служащим, работникам структурных подразделений министерства, имеющим право осуществлять обработку персональных данных в информационных системах персональных данных министерства предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе.

32. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

32.1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных министерства;

32.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных министерства, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

32.3. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

32.4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

32.5. учет машинных носителей персональных данных;

32.6. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

32.7. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

32.8. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных министерства, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных министерства;

32.9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

33. Гражданские служащие, работники министерства, осуществляющие обработку персональных данных в информационных системах персональных данных министерства, должны обеспечить:

33.1. своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в министерстве и руководителя министерства;

33.2. недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

33.3. возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

33.4. постоянный контроль за обеспечением уровня защищенности персональных данных;

33.5. знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, касающейся соответствующей информационной системы персональных данных;

33.6. при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;

33.7. обмен персональными данными при их обработке в информационных системах персональных данных министерства осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.