Приложение N 2. Правила обработки персональных данных в Министерстве финансов Республики Тыва. Приказ Министерства финансов Республики Тыва от 22.12.2017 N 132 о/д "Об утверждении документов, устанавливающих порядок обработки персональных данных, Министерства финансов Республики Тыва" (с изменениями и дополнениями)

Приложение N 2
к приказу Минфина РТ
от 22 декабря 2017 г. N 132о/д

Правила обработки персональных данных в Министерстве финансов Республики Тыва

1. Общие положения

1.1. Настоящие правила устанавливают процедуры, проводимые в Министерстве финансов Республики Тыва (далее - министерство) и направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами". Постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Приказом ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

2. Процедуры, направленные на выявление нарушений законодательства Российской Федерации в сфере персональных данных:

2.1. В целях выявления нарушений законодательства Российской Федерации в сфере персональных данных в министерстве устанавливаются следующие процедуры:

назначение лиц, ответственных за организацию обработки персональных данных в министерстве;

проведение контроля соответствия обработки персональных данных нормам Федерального закона "О персональных данных" и принятых в соответствии с ним нормативных правовых актов.

2.2. Лица ответственные за организацию обработки персональных данных в министерстве, назначаются приказом министерства. В должностные регламенты назначенных лиц включаются обязанности по организации обработки персональных данных.

2.3. Проведение контроля соответствия обработки персональных данных нормам Федерального закона "О персональных данных" и принятых в соответствии с ним нормативных правовых актов проводится:

органом исполнительной власти области, имеющим право контролировать деятельность органов исполнительной власти области в части выполнения требований нормативных правовых актов Российской Федерации и Рязанской области в области защиты информации;

уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

Комиссия по выполнению мероприятий, связанных с обеспечением безопасности персональных данных (далее - комиссия), назначается приказом министерства Контроль выполняется в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве финансов Республики Тыва утвержденными приказом министерства.

Контроль органом исполнительной власти области, имеющим право контролировать деятельность органов исполнительной власти области в части выполнения требований нормативных правовых актов Российской Федерации и Республики Тыва в области защиты информации, проводится в соответствии с утвержденным планом проведения контроля и методикой проведения контроля, разрабатываемыми данным органом.

Контроль уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных проводится в рамках государственного контроля (надзора) в соответствии с Федеральным законом от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

3. Процедуры, направленные на предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

3.1. В целях предотвращения нарушений законодательства Российской Федерации в сфере персональных данных в министерстве устанавливаются следующие процедуры:

обеспечение выполнения принципов и условий обработки персональных данных, установленных Федеральным законом "О персональных данных";

обеспечение соблюдения прав субъектов персональных данных; определение и реализация мероприятий, необходимых и достаточных для выполнения обязанностей министерства как оператора персональных данных;

выполнение установленных Правительством Российской Федерации требований к защите персональных данных для установленных классов (уровней защищенности) информационных систем персональных данных (далее - ИСПДн) министерства, организационных и технических мер по обеспечению безопасности персональных данных в ИСПДн министерства;

выполнение установленных Правительством Российской Федерации требований к обработке и защите персональных данных, обрабатываемых без использования средств автоматизации.

3.2. Порядок действий должностных лиц при выполнении процедур, направленных на предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, регламентируется инструкцией ответственного за организацию обработки персональных данных в министерстве.

4. Цели обработки персональных данных в Министерстве финансов Республики Тыва:

4.1. Целями обработки персональных данных в министерстве являются:

поступление на государственную гражданскую службу (работу) в министерство, ее прохождение (работа) и прекращение (увольнение);

судебное производство по искам о возмещении вреда причиненного гражданину Российской Федерации;

производство по делам об административных правонарушениях, рассмотрение которых отнесено к полномочиям министерства;

реализация гражданином Российской Федерации права на обращение в государственные органы и органы местного самоуправления.

4.2. Персональные данные субъекта, обрабатываемые с целью поступления на государственную гражданскую службу (работу) в министерство, ее прохождения (работы) и прекращения (увольнения) содержат:

фамилию, имя, отчество; год. месяц, дату и место рождения; адрес места жительства и регистрации; паспортные данные; состав семьи:

социальное, семейное и имущественное положение; информацию об образовании, квалификации или наличии специальных знаний или подготовки:

сведения о классном чине, воинском и специальном звании; сведения о прохождении аттестации, сведения о награждении (поощрении) и взыскании;

сведения о воинском учете; сведения о доходах работника; номер страхового свидетельства государственного пенсионного страхования; номер полиса обязательного медицинского страхования; идентификационный номер налогоплательщика; сведения о трудовой деятельности и стаже; занимаемую должность;

номер домашнего и сотового телефона; сведения о социальных льготах;

другую информацию, на основании которой возможно определение субъекта персональных данных.

Категориями субъектов персональных данных для настоящей цели обработки персональных данных являются:

государственные гражданские служащие министерства и члены их семей; сотрудники министерства;

граждане, претендующие на замещение должностей государственной гражданской службы и иных должностей в министерстве;

граждане, прекратившие служебные (трудовые) отношения с министерством;

граждане, зачисленные в кадровый резерв государственной гражданской службы министерства.

Персональные данные указанных категорий субъектов обрабатываются с момента предоставления своих персональных данных субъектом и до прекращения служебных (трудовых) отношений с субъектом. Хранение персональных данных указанных категорий субъектов осуществляется на срок до 10 лет, если иное не установлено законодательством.

4.3. Персональные данные субъекта, обрабатываемые с целью судебного производства по искам о возмещении вреда, причиненного гражданину Российской Федерации, содержат:

фамилию, имя, отчество; год, месяц, дату и место рождения; адрес места жительства и регистрации: паспортные данные;

персональные данные, установленные в ходе осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

Категорией субъектов персональных данных для настоящей цели обработки персональных данных являются граждане, подавшие исковое заявление.

Персональные данные указанной категории субъектов обрабатываются с момента получения министерством материалов судебного дела и до полного исполнения судебного акта. Хранение персональных данных указанных категорий субъектов осуществляется на срок до 5 лет, если иное не установлено законодательством.

4.4. Персональные данные субъекта, обрабатываемые с целью производства по делам об административных правонарушениях, рассмотрение которых отнесено к полномочиям министерства, содержат:

фамилию, имя, отчество; адрес места жительства и регистрации; паспортные данные.

Категорией субъектов персональных данных для настоящей цели обработки персональных данных являются граждане, в отношении которых ведется производство по делу об административном правонарушении.

Персональные данные указанной категории субъектов обрабатываются с момента оформления протокола об административном правонарушении до окончания производства по делу об административном правонарушении. Хранение персональных данных указанных категорий субъектов осуществляется на срок до 5 лет, если иное не установлено законодательством.

4.5. Персональные данные субъекта, обрабатываемые с целью реализации гражданином Российской Федерации права на обращение в государственные органы и органы местного самоуправления, содержат: фамилию, имя. отчество; год, месяц, дату и место рождения; адрес места жительства и регистрации; паспортные данные;

персональные данные, указанные субъектом при реализации им права на обращение в государственные органы и органы местного самоуправления.

Категорией субъектов персональных данных для настоящей цели обработки персональных данных являются граждане, направившие в государственный орган, орган местного самоуправления или должностному лицу в письменной форме или в форме электронного документа предложение, заявление или жалобу, а также устно обратившиеся в государственный орган.

Персональные данные указанной категории субъектов обрабатываются с момента получения министерством обращения и до окончания рассмотрения обращения. Хранение персональных данных указанных категорий субъектов осуществляется на срок до 5 лет, если иное не установлено законодательством.

5. Уничтожение персональных данных

5.1. Уничтожение персональных данных, обрабатываемых министерством в целях, указанных в п. 4.1 настоящих Правил, производится:

по достижении целей обработки персональных данных;

при выявлении неустранимых неправомерных действий с персональными данными субъектов;

при получении от субъекта отзыва согласия на обработку персональных данных;

по требованию клиента или уполномоченного органа по защите прав субъектов персональных данных;

если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

при наступлении иных законных оснований для уничтожения персональных данных.

5.2. Решение об уничтожении персональных данных принимается лицом, ответственным за организацию обработки персональных данных по представлению руководителя структурного подразделения министерства, производящего обработку персональных данных.

Уничтожению подлежат персональные данные, обрабатываемые в ИСПДн министерства или зафиксированные на материальных носителях.

5.3. Уничтожение персональных данных в ИСПДн производится должностным лицом, допущенным к обработке персональных данных. Ответственный за организацию обработки персональных данных министерства контролирует полноту уничтожения указанных данных в ИСПДн.

5.4. Уничтожение персональных данных на материальных носителях производится комиссией.

Комиссии представляется информация обо всех местах хранения соответствующих персональных данных. Руководитель структурного подразделения, обрабатывающего персональные данные, обязан передать комиссии материальный носитель персональных данных, подлежащих уничтожению.

Уничтожение материального носителя персональных данных производится способом, исключающим дальнейшую обработку персональных данных и восстановление содержания персональных данных.

5.5. При необходимости уничтожения персональных данных, являющихся частью материального носителя, содержащего персональные данные, не подлежащие уничтожению, комиссией осуществляется вымарывание либо иное физическое удаление данных с условием сохранения данных, не подлежащих уничтожению. Скорректированный подобным образом документ подлежит возврату в соответствующее подразделение для дальнейшей обработки персональных данных, не подлежащих уничтожению.

5.6. Уничтожение персональных данных оформляется актом об уничтожении, включающим в себя:

дату уничтожения; категории уничтоженных персональных данных, тип и учетные номера материальных носителей; количество уничтоженных носителей или объем уничтоженных персональных данных (при частичном уничтожении); примененные способы уничтожения.