Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ комитета по делам территориальных образований Волгоградской области от 20 февраля 2017 г. N 7 "Об утверждении документов, определяющих политику в отношении обработки персональных данных в комитете по делам территориальных образований, внутренней и информационной политики Волгоградской области" (с изменениями и дополнениями)
- Приложение 1. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в комитете по делам территориальных образований, внутренней и информационной политики Волгоградской области
Приложение 1. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в комитете по делам территориальных образований, внутренней и информационной политики Волгоградской области
Приложение 1
к приказу
комитета по делам
территориальных образований
Волгоградской области
от 20 февраля 2017 г. N 7
Правила
обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в комитете по делам территориальных образований, внутренней и информационной политики Волгоградской области
1. Общие положения
1.1. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в комитете по делам территориальных образований, внутренней и информационной политики Волгоградской области (далее именуются - Правила), разработаны на основании требований Трудового кодекса Российской Федерации, Федеральных законов от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации", от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Указа Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлений Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", от 01 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
1.2. Целью Правил является определение порядка действий при обработке персональных данных, содержания обрабатываемых персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроков их обработки и хранения, порядка уничтожения при достижении целей обработки или при наступлении иных законных оснований в комитете по делам территориальных образований, внутренней и информационной политики Волгоградской области (далее именуется - комитет).
1.3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
1.4. Действие настоящих Правил не распространяется на отношения, возникшие при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
2. Принципы и цели обработки персональных данных
2.1. Принципы обработки персональных данных:
2.1.1. обработка персональных данных должна осуществляться на законной и справедливой основе;
2.1.2. обработка персональных данных должна ограничиваться достижением конкретных определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
2.1.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2.1.4. обработке подлежат только персональные данные, которые отвечают целям их обработки;
2.1.5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
2.1.6. при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица комитета должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
2.1.7. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством, законодательством Волгоградской области, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
2.2. Обработке в комитете подлежат только персональные данные, которые отвечают нижеследующим целям их обработки:
2.2.1. формирование кадрового резерва государственной гражданской службы комитета;
2.2.2. прохождение государственной гражданской службы Волгоградской области в комитете;
2.2.3. реализация трудовых отношений;
2.2.4. рассмотрение вопроса о предоставлении единовременной субсидии на приобретение жилого помещения;
2.2.5. рассмотрение обращений граждан в порядке, предусмотренном Федеральным законом от 02 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
2.2.6. исполнение полномочий комитета по предоставлению государственных услуг, предусмотренных Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
2.2.7. профилактика коррупционных и иных правонарушений;
2.2.8. исполнение функций администратора доходов областного бюджета в части учета наложенных административных штрафов;
2.2.9. юридическая экспертиза, редактирование, набор текстов и форматирование проектов правовых актов Губернатора Волгоградской области, Администрации Волгоградской области и комитета;
2.2.10. осуществление функций государственного заказчика при осуществлении закупок товаров, работ, услуг для обеспечения государственных нужд Волгоградской области в установленной сфере деятельности, а также для обеспечения нужд комитета в соответствии с Федеральным законом от 05 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд";
2.2.11. осуществление бухгалтерского учета выплат, производимых сотрудникам комитета и иным лицам;
2.2.12. статистические или иные исследовательские цели, за исключением целей, указанных в статье 15 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", при условии обязательного обезличивания персональных данных;
2.2.13. для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
3. Мероприятия, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
3.1. Комитет устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
3.1.1. издание нормативных правовых актов, локальных актов комитета по вопросам обработки персональных данных;
3.1.2. назначение ответственного за организацию обработки персональных данных;
3.1.3. определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в комитете и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;
3.1.4. ознакомление государственных гражданских служащих комитета, непосредственно осуществляющих обработку персональных данных, под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику комитета в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
3.1.5. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
3.1.6. опубликование на официальном портале комитета в информационно-телекоммуникационной сети "Интернет" документов, определяющих политику комитета в отношении обработки персональных данных, реализуемые требования к защите персональных данных;
3.1.7. осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике комитета в отношении обработки персональных данных, локальным актам комитета.
4. Содержание обрабатываемых персональных данных
4.1. Информация о персональных данных может содержаться:
4.1.1. на бумажных носителях;
4.1.2. на электронных носителях;
4.1.3. в информационных системах персональных данных комитета;
4.1.4. на портале Губернатора и Администрации Волгоградской области и других интернет-ресурсах, оператором которых является комитет.
4.2. Персональные данные в комитете обрабатываются как без использования средств автоматизации, так и с применением средств вычислительной техники.
5. Категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения
5.1. К категориям субъектов, персональные данные которых обрабатываются в комитете, относятся:
5.1.1. государственные гражданские служащие комитета;
5.1.2. работники, занимающие должности, не отнесенные к должностям государственной гражданской службы Волгоградской области, и осуществляющие техническое обеспечение деятельности комитета;
5.1.3. кандидаты на замещение вакантных должностей и на включение в кадровый резерв комитета;
5.1.4. граждане, обратившиеся в комитет за предоставлением государственных услуг;
5.1.5. граждане, которые являются или могут являться стороной договора с комитетом;
5.1.6. граждане, в отношении которых ведется производство по делам об административных правонарушениях;
5.1.7. граждане, обратившиеся непосредственно в комитет, а также граждане, чьи обращения поступили в комитет в соответствии с его компетенцией из других государственных органов, органов местного самоуправления и от иных должностных лиц в порядке, предусмотренном Федеральным законом от 02 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".
5.2. Документы, содержащие персональные данные, обрабатываются в сроки, обусловленные заявленными целями их обработки.
5.3. Использование персональных данных осуществляется с момента их получения комитетом и прекращается:
5.3.1. по достижении целей обработки персональных данных;
5.3.2. в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.
5.4. Сроки хранения персональных данных устанавливаются в соответствии с номенклатурой дел комитета.
6. Организация обработки, сроки обработки и хранения персональных данных
6.1. Обработка персональных данных в комитете включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, в порядке, установленном законодательством Российской Федерации.
6.3. В случае необходимости предоставления персональных данных, предусмотренных действующим законодательством, субъектам персональных данных разъясняются юридические последствия отказа в предоставлении своих персональных данных. В случае отказа субъекта персональных данных предоставить свои персональные данные разъяснения юридических последствий такого отказа оформляются в письменном виде согласно приложению 12 к настоящему приказу.
6.4. Не допускается получать и обрабатывать персональные данные субъектов, не предусмотренные перечнями персональных данных, которые обрабатываются в комитете, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
6.5. Передача (распространение, предоставление) персональных данных субъектов третьим лицам должна осуществляться с согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.
6.6. Документы, содержащие персональные данные, обрабатываются в сроки, обусловленные заявленными целями их обработки.
6.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.8. Персональные данные, предоставляемые субъектами персональных данных на бумажном носителе, хранятся на бумажных носителях в структурных подразделениях комитета, осуществляющих обработку персональных данных.
6.9. Контроль за хранением и использованием материальных носителей персональных данных, не допускающим несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений комитета, осуществляющих обработку персональных данных.
7. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
7.1. Структурными подразделениями комитета, осуществляющими обработку персональных данных, проводится систематический контроль и выделение документов на бумажных и/или электронных носителях, содержащих персональные данные с истекшими сроками хранения или подлежащих уничтожению при наступлении иных законных оснований.
7.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии, уполномоченной руководителем комитета.
По итогам заседания комиссии составляются акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность. Акт подписывается председателем и членами комиссии и утверждается председателем комитета.
7.3. Документы на бумажных носителях, выделенные к уничтожению согласно акту, уничтожаются способом, не позволяющим произвести считывание или восстановление персональных данных (измельчение, сжигание, химическое уничтожение). Уничтожение персональных данных, содержащихся на электронных носителях, выделенных к уничтожению согласно акту, производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
7.4. По окончании процедуры уничтожения комиссией составляется соответствующий акт об уничтожении документов, содержащих персональные данные. Акт подписывается председателем и членами комиссии и утверждается председателем комитета.
8. Обязанности уполномоченных лиц на получение, обработку, хранение, передачу и любое другое использование персональных данных при обработке персональных данных
8.1. Должностные лица комитета, получившие доступ к персональным данным, обязаны:
8.1.1. знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил;
8.1.2. хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;
8.1.3. соблюдать Правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;
8.1.4. обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.
8.2. При обработке персональных данных уполномоченным лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных запрещается:
8.2.1. использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;
8.2.2. передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации;
8.2.3. снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные;
8.2.4. выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.
9. Права и обязанности субъекта персональных данных
9.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
9.1.1. подтверждение факта обработки персональных данных;
9.1.2. правовые основания и цели обработки персональных данных;
9.1.3. цели и применяемые оператором способы обработки персональных данных;
9.1.4. наименование и место нахождения комитета, сведения о лицах (за исключением работников комитета), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с комитетом или на основании законодательства;
9.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;
9.1.6. сроки обработки персональных данных, в том числе сроки их хранения;
9.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;
9.1.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению комитета, если обработка поручена или будет поручена такому лицу.
9.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
9.3. Субъект персональных данных вправе требовать от комитета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.4. Сведения, указанные в пункте 9.1 раздела 9 настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.5. Если субъект персональных данных считает, что комитет осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие комитета в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
9.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.
9.7. Субъект персональных данных обязан:
9.7.1. передавать комитету достоверные, документированные персональные данные, состав которых установлен законодательством;
9.7.2. своевременно сообщать уполномоченным лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных в комитете об изменении своих персональных данных.
10. Ответственность лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных
10.1. Лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, виновные в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.
10.2. Текущий контроль за соблюдением требований законодательства при обработке персональных данных осуществляется в комитете путем проведения проверок по соблюдению и исполнению законодательства о персональных данных.
10.3. Проверки выполнения требований законодательства при обработке персональных данных проводятся в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленными комитетом.
11. Меры, принимаемые для защиты персональных данных
11.1. Комитет для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает следующие меры:
11.1.1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
11.1.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
11.1.3. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
11.1.4. учет машинных носителей персональных данных;
11.1.5. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
11.1.6. восстановление персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;
11.1.7. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
11.1.8. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.