Приложение N 1. Положение о порядке обработки и защиты персональных данных в департаменте сельского хозяйства и продовольственных ресурсов вологодской области. Приказ Департамента сельского хозяйства и продовольственных ресурсов Вологодской области от 21.03.2019 N 120 "О порядке обработки и защиты персональных данных в Департаменте сельского хозяйства и продовольственных ресурсов Вологодской области" (с изменениями и дополнениями)

Приложение N 1
к приказу
Департамента сельского хозяйства
и продовольственных ресурсов
Вологодской области
от "21".03.2019 г. N 120

Положение
о порядке обработки и защиты персональных данных в департаменте сельского хозяйства и продовольственных ресурсов вологодской области
(далее - Положение)

I. Общие положении

1.1. Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2006 года N 152-ФЗ "О персональных данных", от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", от 6 декабря 2011 года N 402-ФЗ "О бухгалтерском учете", Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, указами Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", от 7 сентября 2010 года N 1099 "О мерах по совершенствованию государственной наградной системы Российской Федерации", от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 3 марта 2017 года N 256 "О федеральной государственной информационной системе "Единая информационная система управления кадровым составом государственной гражданской службы Российской Федерации", приказом ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер но обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Вологодской области от 28 декабря 2009 года N 2114 "О Департаменте сельского хозяйства и продовольственных ресурсов Вологодской области" постановлениями Губернатора области от 6 апреля 2015 года N 170 "Об утверждении положения о представлении лицом, замещающим государственную должность области (гражданином при решении вопроса о назначении на государственную должность области), должность государственной гражданской службы области (гражданином, претендующим на замещение должности государственной гражданской службы области), сведений о доходах, об имуществе и обязательствах имущественного характера", от 4 марта 2014 года N 55 "Об утверждении положения о кадровом резерве на государственной гражданской службе Вологодской области", от 28 марта 2016 года N 288 "О создании единой централизованной информационной системы бюджетного (бухгалтерского) учета и отчетности", от 28 декабря 2009 года N 2114 "О Департаменте сельского хозяйства и продовольственных ресурсов Вологодской области".

1.2. Положение определяет порядок обработки персональных данных в Департаменте сельского хозяйства и продовольственных ресурсов Вологодской области (далее - Департамент) и меры по обеспечению безопасности персональных данных.

1.3. В настоящем Положении используются понятия, применяемые в значениях, определенных в Федеральном законе от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).

1.4. В Департаменте обрабатываются персональные данные лиц, претендующих на замещение должностей государственной гражданской службы Департамента, лиц, замещающих руководящие должности в бюджетном учреждении агропромышленного комплекса Вологодской области "Вологодский информационно-консультационный центр агропромышленного комплекса" (далее - гражданской службы), и лиц, замещающих данные должности, их близких родственников, а также иных физических лиц, персональные данные которых представлены в Департамент (далее - субъекты персональных данных).

Перечень персональных данных, обрабатываемых в Департаменте в связи с реализацией служебных (трудовых) отношений, изложен в приложение N 2 к настоящему приказу.

1.5. Обработка персональных данных в Департаменте осуществляется в целях реализации возложенных на Департамент полномочий, определяемых законами, Положением о Департаменте, иными нормативными правовыми актами.

1.6. Персональные данные субъектов персональных данных являются сведениями конфиденциального характера (за исключением случаев, установленных федеральными законами), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениями, составляющими государственную тайну.

1.7. Департамент является оператором, организующим и осуществляющим обработку персональных данных. Функции оператора возлагаются на структурные подразделения Департамента.

1.8. Обязанности но обработке персональных данных возлагаются на лиц, замещающих должности в структурных подразделениях Департамента, в соответствии с перечнем должностей, замещение которых предусматривает осуществление обработки персональных данных, и должностными регламентами.

Перечень должностей в Департаменте, замещение которых предусматривает осуществление обработки персональных данных, изложен в приложении N 3 к настоящему приказу.

Перечень должностей Департамента, замещение которых предусматривает осуществление доступа к персональным данным, приведен в разделе IV настоящего Положения.

1.9. Оператор (должностные лица, осуществляющие обработку персональных данных) при обработке персональных данных обладает полномочиями и исполняет обязанности, установленные Федеральным законом N 152-ФЗ, Трудовым кодексом Российской Федерации, настоящим Положением и иными нормативными правовыми актами.

1.10. Лица, непосредственно осуществляющие обработку персональных данных, в обязательном порядке под подпись знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Положением, локальными актами оператора по вопросам обработки персональных данных и документами, устанавливающими обязанности данных лиц по соблюдению требований конфиденциальности и безопасности персональных данных.

1.11. В случае попытки кого-либо получить от лиц, осуществляющих обработку персональных данных, сведения, являющиеся персональными данными, а также о причинах и условиях возможной утечки этих данных указанные лица обязаны об этом немедленно сообщать непосредственному руководителю.

II. Порядок обработки персональных данных субъектов персональных данных

2.1. Определение объема, содержания и способа обработки персональных данных осуществляется в соответствии с заявленными целями и правовым основанием, определяющим их получение.

2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иное не предусмотрено сроком действия договора с субъектом персональных данных, сроком исковой давности, приказом Министерства культуры Российской Федерации от 25 августа 2010 года N 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", иными нормативными правовыми актами. По достижении целей обработки персональных данных или в случае утраты необходимости в их достижении, а также по истечении срока хранения персональные данные подлежат уничтожению.

2.3. При обработке персональных данных лиц, претендующих на замещение должностей гражданской службы в Департаменте, замещающих данные должности, соблюдаются требования, установленные статьей 86 Трудового кодекса Российской Федерации, пунктом 5 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 года N 609, и иными нормативными правовыми актами.

2.3.1. Персональные данные в течение периода прохождения гражданской службы и работы обрабатываются специалистом Департамента, осуществляющим кадровую работу, а также в централизованной бухгалтерии Государственного казенного учреждения Вологодской области "Областное казначейство" (далее - ГКУ ВО "Областное казначейство").

2.3.2. После прекращения служебного контракта (трудового договора) и освобождения лица от замещаемой должности до 1 апреля 2016 года его персональные данные, содержащиеся:

- на бумажных носителях, - хранятся в отделе правовой, организационной, кадровой работы и архива в течение срока, установленного законодательством и утвержденной в Департаменте номенклатурой дел;

- в электронном архивном хранилище БУ ВО "Центр информационных технологий", доступ к которому предоставляется на основании письменной заявки, - в течение срока, установленного законодательством, после чего подлежат уничтожению.

После прекращения служебного контракта (трудового договора) и освобождения лица от замещаемой должности с 1 апреля 2016 года его персональные данные, содержащиеся:

- на бумажных носителях, - хранятся в отделе правовой, организационной, кадровой работы и архива в течение срока, установленного законодательством и утвержденной в Департаменте номенклатурой дел;

- в информационных системах персональных данных, - хранятся в ГКУ ВО Областное казначейство" в течение срока, установленного законодательством, после чего подлежат уничтожению.

2.3.3. Персональные данные лиц, претендующих на замещение должностей гражданской службы в Департаменте, хранятся в отделе правовой, организационной, кадровой работы и архива в течение трех лет со дня их получения, после чего подлежат уничтожению.

2.3.4. Персональные данные, собираемые при формировании резерва управленческих кадров Департамента, обрабатываются в отделе правовой, организационной, кадровой работы и архива в сроки прохождения конкурсного отбора и нахождения в резерве. В последующем хранятся на бумажных носителях в течение трех лет со дня завершения конкурса, после чего подлежат уничтожению.

2.3.5. Персональные данные граждан, не допущенных к участию в конкурсе на замещение вакантных должностей гражданской службы в Департаменте и конкурсе по формированию кадрового резерва, и граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор, хранятся на бумажных носителях в отделе правовой, организационной, кадровой работы и архива в течение трех лет после проведения конкурса, после чего подлежат уничтожению, если не возвращены по запросам граждан.

2.3.6. Персональные данные лиц, замещающих должности гражданской службы в Департаменте, связанные с подготовкой наградных документов Департамента, обрабатываются в отделе правовой, организационной, кадровой работы и архива на бумажных носителях. Бумажные носители хранятся в течение пяти лет со дня их получения, после чего уничтожаются.

2.4. Обработка персональных данных иных физических лиц, представляемых в Департамент, осуществляется в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.

2.4.1. Персональные данные обрабатываются в целях реализации полномочий Департамента, в том числе но рассмотрению обращений физических лиц; исполнению договоров и ведению расчетов с физическими лицами; установлению (назначению) и выплате пенсии за выслугу лет лицам, замещавшим должности гражданской службы в Департаменте, а также в органах исполнительной государственной власти области, ранее ликвидированных либо реорганизованных и не имеющих правопреемников (далее - Пенсия за выслугу лет); представлению к награждению наградами области; при работе Общественного совета при Департаменте, а также в связи с осуществлением государственных функций и оказанием государственных услуг.

2.4.2. Обращения, содержащие персональные данные физических лиц, обрабатываются в Департаменте в течение срока рассмотрения обращений. В последующем указанные персональные данные:

- на бумажных носителях - хранятся в течение пяти лет со дня рассмотрения обращения, после чего проводится экспертиза ценности документов должностными лицами, ответственными за ведение делопроизводства по документам, содержащим персональные данные, в соответствующих структурных подразделениях Департамента, по результатам которой составляются описи дел постоянного срока хранения и акты о выделении дел к уничтожению. Дела постоянного хранения подлежат хранению в архиве Департамента;

- в электронном виде - хранятся в автоматизированной системе электронного документооборота Правительства области и органов исполнительной государственной власти области (модуль "Обращения граждан") в течение срока эксплуатации системы.

2.4.3. Персональные данные, собираемые в целях исполнения договоров, государственных контрактов и ведения расчетов с физическими лицами, обрабатываются в управлении бюджетного планирования и госзакупок, а также в ГКУ ВО "Областное казначейство" в течение срока действия договора или ведения расчетов с физическими лицами, в последующем хранятся на бумажных носителях и в единой централизованной информационной системе бюджетного (бухгалтерского) учета и отчетности в течение пяти лет, после чего подлежат уничтожению.

2.4.4. Персональные данные, необходимые при сборе документов, необходимых для установления (назначения) и выплаты пенсии за выслугу лет, обрабатываются в отделе правовой, организационной, кадровой работы и архива на бумажных носителях и подлежат передаче в Департамент социальной защиты населения области.

2.4.5. Персональные данные граждан, связанные с подготовкой наградных документов Губернатора области, Департамента, обрабатываются в отделе правовой, организационной, кадровой работы и архива на бумажных носителях. Персональные данные граждан, связанные с подготовкой наградных документов Губернатора области передаются в отдел наград Департамента управления делами Правительства области.

2.4.6. Персональные данные граждан, связанные с работой общественного Совета при Департаменте, обрабатываются в отделе правовой, организационной, кадровой работы и архива на бумажных носителях. Бумажные носители хранятся до истечения срока полномочий состава общественного Совета со дня их получения, после чего уничтожаются.

2.4.7. Персональные данные граждан, связанные с предоставлением Департаментом государственных услуг:

2.4.7.1. по предоставлению единовременных выплат специалистам агропромышленного комплекса области представленные документы хранятся в течение срока оказания государственной услуги, в последующем документы хранятся на бумажном носителе в течение срока, установленного действующим законодательством, затем уничтожаются;

2.4.7.2. по предоставлению единовременных выплат специалистам АПК области в рамках реализации Закона ВО N 3795 представленные документы хранятся в течение срока оказания государственной услуги, в последующем документы хранятся на бумажном носителе в течение срока, установленного действующим законодательством, затем уничтожаются;

2.4.7.3. по предоставлению ежемесячных денежных выплат студентам представленные документы хранятся в течение срока оказания государственной услуги, в последующем документы хранятся на бумажном носителе в течение срока, установленного действующим законодательством, затем уничтожаются.

2.5. В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты персональных данных имеют право на доступ к своим персональным данным, получение информации, касающейся обработки своих персональных данных, и обжалование действий (бездействия) оператора в соответствии с Федеральным законом N 152-ФЗ, Трудовым кодексом Российской Федерации и иными нормативными правовыми актами.

2.6. При обработке персональных данных, осуществляемой без использования средств автоматизации, оператором выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

2.7. Правила работы с обезличенными данными в Департаменте и перечень должностей гражданской службы в Департаменте, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, изложены в приложениях N 4 и 5 к настоящему приказу.

2.8. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание), или путем уничтожения материального носителя. Бумажные носители персональных данных уничтожаются путем сжигания или измельчения до степени, исключающей возможность прочтения текста.

2.9. Уничтожение персональных данных осуществляется комиссией на основании акта об уничтожении (приложение N 15 к настоящему приказу).

2.10. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

III. Меры но обеспечению безопасности персональных данных при их обработке в Департаменте

3.1. Безопасность персональных данных достигается путем исключения неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, распространения, предоставления, а также от иных неправомерных действий в отношении их.

3.2. Персональные данные субъектов персональных данных в Департаменте обрабатываются на бумажных и электронных носителях в специальных предназначенных для этого помещениях, занимаемых структурными подразделениями Департамента, осуществляющими деятельность по обработке персональных данных.

3.3. Обеспечение безопасности персональных данных при их обработке достигается путем принятия необходимых организационных и технических мер для их защиты, установленных статьями 18.1, 19 Федерального закона N 152-ФЗ, разделом III Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687, постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также иными нормативными правовыми актами.

К организационным и техническим мерам защиты персональных данных относятся в том числе:

- определение мест хранения материальных носителей, содержащих персональные данные, соблюдение условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ;

- организация порядка уничтожения информации, содержащей персональные данные;

- обеспечение целостности программных средств информационной системы персональных данных, обрабатываемой информации, а также неизменности программной среды;

- соблюдение пользователями условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- соблюдение пользователями порядка реагирования на инциденты и восстановления работоспособности информационных систем;

- организация доступа должностных лиц к информации, содержащей персональные данные, в соответствии с их должностными, (функциональными) обязанностями;

- ознакомление должностных лиц, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и локальными нормативными актами по вопросам обработки персональных данных.

IV. Доступ к персональным данным

4.1. Доступ ко всем персональным данным, обрабатываемым в Департаменте, имеют лица, замещающие должности:

- начальника Департамента;

- заместителя начальника Департамента;

- заместителя начальника Департамента, начальника агропромышленного производства;

- начальника отдела правовой, организационной, кадровой работы и архива;

- ведущего консультанта отдела правовой, организационной, кадровой работы и архива;

- консультанта отдела правовой, организационной, кадровой работы и архива;

4.2. Доступ к персональным данным гражданских служащих и претендентов на замещение должностей гражданской службы, претендентов в резерв управленческих кадров Вологодской области, лиц, претендующих на выплаты пенсии за выслугу лет, претендентов на получение наградных документов Департамента:

- руководители структурных подразделений Департамента - в отношении персональных данных претендентов на замещение должностей в соответствующих структурных подразделениях Департамента;

- государственные гражданские служащие отдела правовой, организационной, кадровой работы и архива Департамента;

- лица, входящие в состав соответствующих конкурсных комиссий, - в отношении претендентов, участвующих в конкурсе на замещение вакантных должностей гражданской службы и конкурсе но формированию кадрового резерва;

- лица, входящие в состав соответствующих аттестационных комиссий, комиссий по соблюдению требований к служебному поведению и урегулированию конфликта интересов, иных комиссий, образуемых в соответствии с Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", - в отношении рассматриваемых на соответствующих комиссиях персональных данных субъектов персональных данных;

- лица, замещающие должности в ГКУ ВО "Областное казначейство", - в отношении персональных данных, обрабатываемых в ЕЦИС и информационных системах "1C: Бухгалтерия государственного учреждения" и "1C: Зарплата и кадры бюджетного учреждения";

- лица, имеющие доступ к федеральной государственной информационной системе "Единая информационная система управления кадровым составом государственной гражданской службы Российской Федерации" в соответствии с федеральным законодательством.

4.3. Доступ к персональным данным иных физических лиц, представляемым в Департамент, имеют:

- государственные гражданские служащие Департамента, на которых возложены функции по рассмотрению обращений граждан, функции по предоставлению государственных услуг Департамента и по оказанию мер государственной поддержки в соответствии с должностными регламентами.

4.4. Персональные данные могут предоставляться организациям и учреждениям по запросу в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.

4.5. Предоставление персональных данных субъектов персональных данных осуществляется лицам, которые в соответствии с пунктами 4.1 - 4.3 настоящего Положения имеют право доступа к персональным данным, по их запросу, либо в случае направления им для рассмотрения соответствующих обращений физических лиц, либо для выполнения своих должностных обязанностей по обработке персональных данных.

Предоставление персональных данных субъектов персональных данных осуществляется государственным гражданским служащим Департамента государственного управления и кадровой политики области:

- в отношении лиц, включенных в кадровый резерв Правительства области, с целью включения их в кадровый резерв на государственной гражданской службе области. Передача информации осуществляется в объеме и порядке, установленных постановлением Губернатора области от 4 марта 2014 года N 55 "Об утверждении положения о кадровом резерве на государственной гражданской службе Вологодской области";

- отношении лиц, замещающих должности государственной гражданской службы в Департаменте (граждан, претендующих на замещение должностей) с целью проверки достоверности и полноты сведений о доходах, об имуществе и обязательствах имущественного характера, проведения мероприятий по профилактике коррупционных и иных правонарушений.

4.6. Лица, указанные в пунктах 4.1 - 4.5. настоящего Положения, имеют право получать на ознакомление только те персональные данные, которые необходимы для выполнения конкретных функций, поручений, своих должностных обязанностей.

4.7. В случае обращения с запросом лица, не уполномоченного в соответствии с нормативными правовыми актами на получение персональных данных, либо отсутствия письменного согласия субъекта персональных данных на предоставление его персональных данных третьей стороне, либо угрозы жизни и здоровью субъекта персональных данных оператор обязан отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации.

4.8. При передаче персональных данных оператор обязан предупредить в установленном порядке лиц, получающих персональные данные субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

4.9. При привлечении по договору к работам по обработке и (или) защите персональных данных сторонних юридических и (или) физических лиц обязательным условием допуска к проведению таких работ является подписание обязательства о неразглашении информации с лицами, проводящими работы.

4.10. При направлении третьей стороне документов, содержащих персональные данные, или выписок из них необходимо руководствоваться общим порядком обращения с документированной информацией, содержащей служебную информацию ограниченного распространения, определенным Инструкцией о порядке обращения со служебной информацией ограниченного распространения в Департаменте сельского хозяйства и продовольственных ресурсов области.

4.11. Трансграничная передача персональных данных на территорию иностранных государств может осуществляться оператором в соответствии со статьей 12 Федерального закона N 152-ФЗ.