Приложение 1. Положение о порядке обработки и защиты персональных данных в Комитете государственного заказа области. Приказ Комитета государственного заказа Вологодской области от 07.05.2019 N 34 "Об утверждении Положения о порядке обработки и защиты персональных данных" (с изменениями и дополнениями)

Утверждено
Приказом
Комитета государственного заказа
Вологодской области
от 07.05.2019 N 34

(Приложение 1)

Положение
о порядке обработки и защиты персональных данных в Комитете государственного заказа области

I. Общие положения

1.1. Настоящее Положение о порядке обработки и защиты персональных данных в Комитете государственного заказа области (далее также - Положение, Комитет) разработано в соответствии с Федеральными законами от 22 октября 2004 года N 125-ФЗ "Об архивном деле в Российской Федерации" , от 27 июля 2006 года N 152-ФЗ "О персональных данных" , от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации" , от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" , от 6 декабря 2011 года N 402-ФЗ "О бухгалтерском учете" , Налоговым кодексом Российской Федерации, Указами Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" , постановлениями Правительства Российской Федерации от 27 ноября 2006 года N 719 "Об утверждении Положения о воинском учете" , от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" , от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" , приказом Министерства культуры Российской Федерации от 25 августа 2010 года N 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" , приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 года N 996 "Об утверждении требований и методов по обезличиванию персональных данных" , постановлениями Губернатора области от 6 апреля 2015 года N 170 "Об утверждении положения о представлении лицом, замещающим государственную должность области (гражданином при решении вопроса о назначении на государственную должность области), должность государственной гражданской службы области (гражданином, претендующим на замещение должности государственной гражданской службы области), сведений о доходах, об имуществе и обязательствах имущественного характера" , от 4 марта 2014 года N 55 "Об утверждении положения о кадровом резерве на государственной гражданской службе Вологодской области" , от 6 марта 2015 года N 95 "О передаче функций по ведению бюджетного бухгалтерского учета и составлению отчетности" , приказом Комитета от 23 июля 2015 года N 29 "Об утверждении Положения об общественном совете при Комитете государственного заказа области" .

1.2. Положение определяет порядок обработки персональных данных в Комитете и меры по обеспечению безопасности персональных данных.

1.3. В настоящем Положении используются понятия, применяемые в значениях, определенных в Федеральном законе от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).

1.4. В Комитете обрабатываются персональные данные:

- лиц, претендующих на замещение должностей государственной гражданской службы области;

- государственных гражданских служащих Комитета, близких родственников государственных гражданских служащих Комитета;

- лиц, участвующих в конкурсе при формировании кадрового резерва Комитета;

- иных физических лиц, персональные данные которых получены Комитетом в рамках исполнения своих полномочий (далее - субъекты персональных данных).

Перечень персональных данных, обрабатываемых в Комитете, изложен в приложении 1 к настоящему Положению.

1.5. Обработка персональных данных в Комитете осуществляется в целях реализации федеральных законов, иных нормативных правовых актов в рамках возложенных на Комитет полномочий, определяемых Положением о Комитете.

1.6. Персональные данные субъектов персональных данных являются сведениями конфиденциального характера (за исключением случаев, установленных федеральными законами), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениями, составляющими государственную тайну.

1.7. Комитет является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.8. Обязанности по обработке персональных данных возлагаются на государственных гражданских служащих Комитета в соответствии с утвержденным перечнем должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, служебными контрактами, заключаемыми с ними, и должностными регламентами.

Перечень должностей государственной гражданской службы области в Комитете, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (далее - должностные лица, осуществляющие обработку персональных данных), изложен в приложении 2 к настоящему Положению.

1.9. Оператор (должностные лица, осуществляющие обработку персональных данных) при обработке персональных данных обладает полномочиями и исполняет обязанности, установленные Федеральным законом N 152-ФЗ, настоящим Положением и иными нормативными правовыми актами.

1.10. Лица, непосредственно осуществляющие обработку персональных данных, в обязательном порядке под подпись знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Положением, локальными актами оператора по вопросам обработки персональных данных и документами, устанавливающими обязанности данных лиц по соблюдению требований конфиденциальности и безопасности персональных данных.

1.11. В случае попытки кого-либо получить от лиц, осуществляющих обработку персональных данных, и лиц, имеющих доступ к персональным данным, сведения, являющиеся персональными данными, а также о причинах и условиях возможной утечки этих данных указанные лица обязаны немедленно сообщать непосредственному руководителю, как только им стало об этом известно.

II. Порядок обработки персональных данных субъектов персональных данных

2.1. Определение объема, содержания и способа обработки персональных данных осуществляется в соответствии с заявленными целями и правовым основанием, определяющим их получение.

2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иное не предусмотрено сроком действия договора с субъектом персональных данных, сроком исковой давности, приказом Минкультуры Российской Федерации от 25 августа 2010 года N 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" , иными нормативными правовыми актами. По достижении целей обработки персональных данных или в случае утраты необходимости в их достижении, а также по истечении срока хранения персональные данные подлежат уничтожению.

2.3. При обработке персональных данных лиц, претендующих на замещение должностей государственной гражданской службы в Комитете, и лиц, замещавших данные должности, соблюдаются требования, установленные статьей 86 Трудового кодекса Российской Федерации, пунктом 5 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 года N 609, и иными нормативными правовыми актами.

2.3.1. Персональные данные в течение периода прохождения государственной гражданской службы обрабатываются государственным гражданским служащим Комитета, в должностные обязанности которого входит организация кадровой работы, а также в Государственном казенном учреждении Вологодской области "Областное казначейство" (далее - ГКУ ВО "Областное казначейство") в соответствии с Соглашением о передаче Комитетом функций по ведению бюджетного (бухгалтерского) учета, составлению бюджетной, налоговой отчетности, отчетности в государственные внебюджетные фонды (далее - Соглашение).

2.3.2. После прекращения служебного контракта и освобождения лица от замещаемой должности до 1 сентября 2015 года его персональные данные, содержащиеся:

- на бумажных носителях - хранятся в Комитете в течение 10 лет, после чего подлежат передаче в архив Комитета, где хранятся в течение срока, установленного законодательством и утвержденной в Комитете номенклатурой дел, после чего подлежат уничтожению;

- в электронном виде - хранятся в автоматизированной информационной системе "1C: Зарплата и кадры государственного учреждения" в бюджетном учреждении Вологодской области "Центр информационных технологий" (далее - БУ ВО "Центр информационных технологий" ) в качестве архивных копий до 2023 года, после чего подлежат уничтожению.

После прекращения служебного контракта и освобождения лица от замещаемой должности с 1 сентября 2015 года его персональные данные хранятся:

- на бумажных носителях;

- в Комитете в течение 10 лет, после чего подлежат передаче в архив Комитета, где хранятся в течение срока, установленного законодательством и утвержденной в Комитете номенклатурой дел, после чего подлежат уничтожению;

- в ГКУ ВО "Областное казначейство" в течение срока, установленного законодательством, Соглашением в соответствии с утвержденной в ГКУ ВО "Областное казначейство" номенклатурой дел;

- в информационных системах персональных данных - хранятся в БУ ВО "Центр информационных технологий" в единой централизованной информационной системе бюджетного (бухгалтерского) учета и отчетности в течение срока, установленного законодательством, после чего подлежат уничтожению.

2.3.3. Персональные данные лиц, претендующих на замещение должностей государственной гражданской службы в Комитете, хранятся на бумажных носителях в Комитете в течение трех лет со дня их получения, после чего подлежат уничтожению.

2.3.4. Персональные данные, собираемые при формировании кадрового резерва Комитета, обрабатываются государственным гражданским служащим Комитета, в должностные обязанности которого входит организация кадровой работы, в сроки прохождения конкурсного отбора и нахождения в резерве. В последующем хранятся на бумажных носителях в течение трех лет со дня завершения конкурса, после чего подлежат уничтожению.

2.3.5. В случае если персональные данные граждан, не допущенных к участию в конкурсе на замещение вакантных должностей государственной гражданской службы в Комитете, в конкурсе по формированию кадрового резерва, и граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор, не возвращены по запросам граждан, то они хранятся на бумажных носителях в Комитете в течение трех лет после проведения конкурса, после чего подлежат уничтожению.

2.4. Обработка персональных данных иных физических лиц, представляемых в Комитет, осуществляется в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.

2.4.1. Персональные данные обрабатываются в целях реализации полномочий Комитета, в том числе по рассмотрению обращений граждан и организаций, исполнению договоров (контрактов) и ведению расчетов с физическими лицами за оказанные услуги (выполненные работы, поставленные товары); по формированию кадрового резерва Комитета; по формированию Общественного совета при Комитете; установлению (назначению) и выплате пенсии за выслугу лет лицам, замещавшим должности гражданской службы в Комитете, а также в органах исполнительной государственной власти области, ранее ликвидированных либо реорганизованных и не имеющих правопреемников (далее - пенсия за выслугу лет), представлению к награждению наградами Комитета.

2.4.2. Обращения граждан, содержащие персональные данные, обрабатываются в Комитете в течение срока рассмотрения обращений.

В последующем указанные персональные данные подлежат хранению:

- на бумажных носителях - в течение пяти лет со дня рассмотрения обращения, после чего проводится экспертиза ценности документов содержащих персональные данные должностным лицом, ответственным за ведение делопроизводства в Комитете. По результатам экспертизы ценности документов составляются опись дел на постоянный срок хранения и акт о выделении дел к уничтожению. Дела постоянного срока хранения подлежат хранению в архиве Комитета, в электронном виде;

- после рассмотрения обращения подлежат обезличиванию;

- в модуле автоматизированной системы электронного документооборота органов исполнительной государственной власти области в течение срока эксплуатации системы.

2.4.3. Персональные данные, используемые в целях исполнения договоров (контрактов) и ведения расчетов с физическими лицами за оказанные услуги (выполненные работы, поставленные товары), обрабатываются государственным гражданским служащим Комитета, ответственным за ведение бюджетного учета, а также в ГКУ ВО "Областное казначейство" в течение срока исполнения контракта, в последующем хранятся на бумажных носителях в Комитете в течение 5 лет, после чего подлежат уничтожению.

2.4.4. Персональные данные, обрабатываемые при формировании кадрового резерва Комитета обрабатываются государственным гражданским служащим Комитета, в должностные обязанности которого входит организация кадровой работы, в сроки прохождения конкурсного отбора и нахождения в резерве. В последующем хранятся на бумажных носителях в течение пяти лет, после чего подлежат уничтожению.

2.4.5. Персональные данные, обрабатываемые при формировании Общественного совета при Комитете, обрабатываются на бумажных носителях в управлении стратегического развития Комитета в сроки прохождения конкурсного отбора и деятельности выбранного состава Общественного совета, после чего подлежат уничтожению.

2.4.6. Персональные данные, необходимые при сборе документов, необходимых для установления (назначения) и выплаты Пенсии за выслугу лет, обрабатываются государственным гражданским служащим Комитета, в должностные обязанности которого входит организация кадровой работы, на бумажных носителях и подлежат передаче в Департамент социальной защиты населения области.

2.4.7. Персональные данные граждан, связанные с подготовкой наградных документов Комитета, обрабатываются государственным гражданским служащим Комитета, в должностные обязанности которого входит организация кадровой работы, на бумажных носителях. В дальнейшем бумажные носители, содержащие персональные данные граждан, хранятся в течение 5 лет со дня их получения, после чего передаются в архив Комитета.

2.5. В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты персональных данных имеют право на доступ к своим персональным данным, получение информации, касающейся обработки своих персональных данных, и обжалование действий (бездействия) оператора в соответствии с Федеральным законом N 152-ФЗ, Трудовым кодексом Российской Федерации и иными нормативными правовыми актами.

2.6. При обработке персональных данных, осуществляемой без использования средств автоматизации, оператором выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" .

2.7. Правила работы с обезличенными данными в Комитете в случае их обезличивания и перечень должностей гражданской службы в Комитете, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, изложены соответственно в приложениях 3 и 4 к настоящему Положению.

2.8. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание), или путем уничтожения материального носителя. Бумажные носители персональных данных уничтожаются путем сжигания или измельчения до степени, исключающей возможность прочтения текста.

2.9. Уничтожение персональных данных осуществляется на основании акта об уничтожении.

2.10. Уничтожение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

III. Меры по обеспечению безопасности персональных данных при их обработке в Комитете

3.1. Безопасность персональных данных достигается путем исключения неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, распространения, предоставления, а также иных неправомерных действий в отношении их.

3.2. Персональные данные субъектов персональных данных в Комитете обрабатываются на бумажных и электронных носителях в специальных предназначенных для этого помещениях, занимаемых государственными гражданскими служащими Комитета, структурными подразделениями Комитета, осуществляющими деятельность по обработке персональных данных.

3.3. Обеспечение безопасности персональных данных при их обработке достигается путем принятия необходимых организационных и технических мер для их защиты, установленных статьей 19 Федерального закона N 152-ФЗ, разделом III Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687, постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" , а также иными нормативными правовыми актами. К организационным и техническим мерам защиты персональных данных относятся в том числе:

- определение мест хранения материальных носителей, содержащих персональные данные, соблюдение условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ;

- организация порядка уничтожения информации, содержащей персональные данные;

- обеспечение целостности программных средств информационной системы персональных данных, обрабатываемой информации, а также неизменности программной среды;

- соблюдение пользователями условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- соблюдение пользователями порядка реагирования на инциденты и восстановления работоспособности информационных систем.

3.4. Не допускается обработка персональных данных в информационных системах персональных данных при отсутствии:

- утвержденных организационно-технических документов, установленных нормативными правовыми актами в области защиты информации;

- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации, установленными Правительством Российской Федерации, ФСТЭК России, ФСБ России.

IV. Доступ к персональным данным и информационным системам персональных данных

4.1. Доступ ко всем персональным данным, обрабатываемым в Комитете, имеют лица, замещающие должности:

- председателя Комитета;

- начальника управления размещения государственных заказов, заместителя председателя Комитета;

- начальника управления стратегического развития Комитета - в отношении персональных данных, необходимых председателю Комитета; начальнику управления размещения государственных заказов, заместителю председателя Комитета; начальнику управления стратегического развития Комитета.

4.2. Доступ к персональным данным государственных гражданских служащих Комитета и лиц, претендующих на замещение должностей государственной гражданской службы и на включение в кадровый резерв Комитета; кандидатов, включенных в кадровый резерв Комитета имеют:

- руководители структурных подразделений Комитета - в отношении персональных данных государственных гражданских служащих Комитета и лиц, претендующих на замещение должностей государственной гражданской службы в соответствующих структурных подразделениях Комитета;

- лица, входящие в состав соответствующих конкурсных комиссий, - в отношении лиц, принимающих участие в конкурсе на замещение вакантных должностей государственной гражданской службы и конкурсе по формированию кадрового резерва;

- лица, входящие в состав соответствующих аттестационных комиссий, конкурсных комиссий, комиссий по соблюдению требований к служебному поведению и урегулированию конфликта интересов, иных комиссий, образуемых в соответствии с Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации" , - в отношении рассматриваемых на соответствующих комиссиях персональных данных субъектов персональных данных.

4.3. Доступ к персональным данным иных физических лиц, представляемым в Комитет, имеют:

- государственные гражданские служащие Комитета, на которые возложены функции по рассмотрению обращений граждан в соответствии с Федеральным законом Российской Федерации от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" , нормативными правовыми актами Губернатора области и Правительства области, нормативными актами Комитета, должностными регламентами.

- государственные гражданские служащие Комитета - в отношении персональных данных, обрабатываемых согласно полномочиям структурного подразделения Комитета в соответствии с Положением о структурном подразделении, должностными регламентами.

4.4. Доступ к информационным системам персональных данных и электронным носителям, на которых хранятся персональные данные, имеют также уполномоченные лица:

- бюджетного учреждения в сфере информационных технологий Вологодской области "Центр информационных технологий" - с целью сопровождения, администрирования и технической поддержки инфраструктуры информационных систем персональных данных;

- ГКУ ВО "Областное казначейство" - с целью ведения бюджетного (бухгалтерского) учета, составления бюджетной (бухгалтерской) и налоговой отчетности, отчетности в государственные внебюджетные фонды в соответствии с требованиями действующего законодательства.

Обязательным условием допуска к проведению данных работ является возложение на уполномоченных лиц обязанности обеспечения конфиденциальности персональных данных и безопасности персональных данных при работе с информационными системами персональных данных.

4.5. Персональные данные могут предоставляться в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.

4.6. Предоставление персональных данных субъектов персональных данных осуществляется лицам, которые в соответствии с пунктами 4.1 - 4.3 раздела IV настоящего Положения имеют право доступа к персональным данным, по их запросу, либо в случае направления им для рассмотрения соответствующих обращений физических лиц, либо для выполнения своих должностных обязанностей по обработке персональных данных.

4.7. Лица, указанные в пунктах 4.1 - 4.3 раздела IV настоящего Положения, имеют право получать на ознакомление только те персональные данные, которые необходимы для выполнения конкретных функций, поручений, своих должностных обязанностей.

4.8. В случае обращения с запросом лица, не уполномоченного в соответствии с нормативными правовыми актами на получение персональных данных, либо отсутствия письменного согласия субъекта персональных данных на предоставление его персональных данных третьей стороне, либо при наличии угрозы жизни и здоровью субъекта персональных данных оператор обязан отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации.

4.9. При передаче персональных данных оператор обязан предупредить в установленном порядке лиц, получающих персональные данные субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

4.10. При привлечении по договору к работам по обработке и (или) защите персональных данных сторонних юридических и (или) физических лиц обязательным условием допуска к проведению таких работ является подписание обязательства о неразглашении информации с лицами, проводящими работы.

4.11. При направлении третьей стороне документов, содержащих персональные данные, или выписок из них необходимо руководствоваться общим порядком обращения с документированной информацией, содержащей служебную информацию ограниченного распространения, определенным Инструкцией о порядке обращения со служебной информацией ограниченного распространения в Комитете государственного заказа области, утвержденной приказом Комитета от 2 июня 2014 года N 55/1.

4.12. Трансграничная передача персональных данных на территорию иностранных государств может осуществляться оператором в соответствии со статьей 12 Федерального закона N 152-ФЗ.