Приложение 1. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, в комитете государственной охраны объектов культурного наследия Волгоградской области. Приказ комитета государственной охраны объектов культурного наследия Волгоградской области от 23.08.2018 N 176 "Об утверждении документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" в комитете государственной охраны объектов культурного наследия Волгоградской области" (с изменениями и дополнениями)

Приложение 1
к приказу
комитета государственной охраны
объектов культурного наследия
Волгоградской области
от 23.08.2018 г. N 176

Правила
обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, в комитете государственной охраны объектов культурного наследия Волгоградской области

1. Общие положения

1.1. Настоящие Правила разработаны во исполнение требований Трудового кодекса Российской Федерации, федеральных законов от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Указа Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлений Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 01 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

1.2. Правила определяют содержание обрабатываемых персональных данных, цели обработки персональных данных, категории субъектов, персональные данные которых обрабатываются в комитете государственной охраны объектов культурного наследия Волгоградской области (далее - Комитет), условия, порядок, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований, а также меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации о персональных данных.

1.3. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).

2. Цели и принципы обработки персональных данных

2.1. Обработка персональных данных в Комитете должна осуществляться с соблюдением следующих принципов:

1) обработка персональных данных должна ограничиваться достижением конкретных, определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

2) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

3) обработке подлежат только персональные данные, которые отвечают целям их обработки;

4) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

5) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица Комитета должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

6) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством, законодательством Волгоградской области, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

2.2. Обработке в Комитете подлежат только персональные данные, которые отвечают нижеследующим целям их обработки:

1) формирование кадрового резерва государственной гражданской службы Комитета;

2) прохождение государственной гражданской службы Волгоградской области в Комитете;

3) реализация трудовых и гражданско-правовых отношений;

4) рассмотрение обращений граждан в порядке, предусмотренном Федеральным законом от 02 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

5) осуществление возложенных на Комитет полномочий и исполнение государственных функций.

2.3. Перечни персональных данных, обрабатываемых в Комитете, приведены в приложениях 1-5 к настоящим Правилам.

2.4. Информация о персональных данных может содержаться:

на бумажных носителях;

на электронных носителях;

в информационных системах персональных данных Комитета;

на портале Губернатора и Администрации Волгоградской области, и интернет-ресурсах, оператором которых является Комитет.

2.5. Персональные данные в Комитете обрабатываются как без использования средств автоматизации, так и с применением средств вычислительной техники.

3. Категории субъектов, персональные данные которых обрабатываются в Комитете

3.1. Категории субъектов, персональные данные которых обрабатываются в Комитете, определяются целями обработки персональных данных.

3.2. К категориям субъектов, персональные данные которых обрабатываются в Комитете, относятся:

- граждане, персональные данные которых обрабатываются в связи с формированием кадрового резерва государственной гражданской службы Комитета;

- граждане, персональные данные которых обрабатываются в связи с прохождением государственной гражданской службы Волгоградской области в Комитете;

- граждане, персональные данные которых обрабатываются в связи с реализацией трудовых и гражданско-правовых отношений;

- граждане, персональные данные которых обрабатываются в связи с рассмотрением обращений граждан в порядке, предусмотренном Федеральным законом от 02 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

- граждане, персональные данные которых обрабатываются в связи с осуществлением возложенных на Комитет полномочий и исполнением государственных функций.

4. Организация обработки, сроки обработки и хранения персональных данных

4.1. Обработка персональных данных в Комитете включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

4.2. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов осуществляются путем получения персональных данных непосредственно от субъектов персональных данных.

4.3. В случае необходимости предоставления персональных данных, предусмотренных действующим законодательством, субъектам персональных данных разъясняются юридические последствия отказа в предоставлении своих персональных данных.

В случае отказа субъекта персональных данных предоставить свои персональные данные разъяснения юридических последствий такого отказа оформляются в письменном виде согласно приложению 6 к настоящим Правилам.

4.4. Запрещается получать и обрабатывать персональные данные субъектов, не предусмотренные перечнями персональных данных, которые обрабатываются в Комитете, приведенными в приложениях 1-5 к настоящим Правилам, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

4.5. Передача (распространение, предоставление) персональных данных субъектов третьим лицам должна осуществляться с согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.

4.6. Документы, содержащие персональные данные, обрабатываются в сроки, обусловленные заявленными целями их обработки.

4.7. Использование персональных данных осуществляется с момента их получения Комитетом и прекращается:

1) по достижении целей обработки персональных данных;

2) в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

4.8. Сроки хранения персональных данных устанавливаются на основании действующего законодательства в соответствии с номенклатурой дел Комитета.

4.9. Контроль за хранением и использованием материальных носителей персональных данных, не допускающим несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Комитета, осуществляющих обработку персональных данных.

5. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

5.1. Структурными подразделениями Комитета, осуществляющими обработку персональных данных, проводится систематический контроль и выделение документов на бумажных и/или электронных носителях, содержащих персональные данные с истекшими сроками хранения или подлежащих уничтожению при наступлении иных законных оснований.

5.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии (далее - комиссия), состав которой утверждается приказом Комитета.

По итогам заседания комиссии составляются акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами комиссии и утверждается председателем Комитета.

5.3. Документы на бумажных носителях, выделенные к уничтожению согласно акту, уничтожаются способом, не позволяющим произвести считывание или восстановление персональных данных (измельчение, сжигание, химическое уничтожение). Уничтожение персональных данных, содержащихся на электронных носителях, выделенных к уничтожению согласно акту, производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

5.4. По окончании процедуры уничтожения комиссией составляется соответствующий акт об уничтожении документов, содержащих персональные данные. Акт подписывается председателем и членами комиссии и утверждается председателем Комитета.

6. Права и обязанности субъекта персональных данных

6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые Комитетом способы обработки персональных данных;

4) наименование и место нахождения Комитета, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Комитетом или на основании законодательства;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество лица, осуществляющего обработку персональных данных;

10) иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

6.2. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Закона о персональных данных.

6.3. Субъект персональных данных вправе требовать от Комитета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.4. Сведения, указанные в пункте 7.1 раздела 7 Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6.5. Если субъект персональных данных считает, что Комитет осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Комитета в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

6.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.7. Субъект персональных данных обязан:

1) передавать Комитету достоверные, документированные персональные данные, состав которых установлен законодательством;

2) своевременно сообщать уполномоченным лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных в Комитете об изменении своих персональных данных.

7. Обязанности уполномоченных лиц на получение, обработку, хранение, передачу и любое другое использование персональных данных при обработке персональных данных

7.1. Комитетом определяется перечень лиц, уполномоченных на обработку персональных данных, обеспечивающих обработку персональных данных в соответствии с требованиями действующего законодательства и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение требований к защите персональных данных, предъявляемых законодательством.

7.2. Должностные лица Комитета, получившие доступ к персональным данным, обязаны:

1) знать и выполнять требования законодательства Российской Федерации в области обеспечения защиты персональных данных и настоящих Правил;

2) хранить в тайне известные им персональные данные, информировать непосредственного руководителя о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

3) соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

4) обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.

7.3. Должностным лицам Комитета, получившим доступ к персональным данным, запрещается:

1) использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

2) передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта и т.д.) без использования сертифицированных средств криптографической защиты информации;

3) снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные, в целях, не относящихся к исполнению служебных обязанностей;

4) оставлять носители персональных данных в неустановленных местах хранения;

5) выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.

7.4. Должностные лица Комитета дают обязательства в письменной форме не раскрывать третьим лицам и не распространять персональные данные, ставшие им известными в результате служебной деятельности, без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. Типовая форма обязательства о неразглашении информации, содержащей персональные данные, приведена в приложении 7 к настоящему приказу.

7.5. Лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, виновные в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.

8. Обязанности Комитета по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

8.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Комитет обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Комитет обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

8.2. В случае подтверждения факта неточности персональных данных Комитет на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

8.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Комитетом или лицом, действующим по поручению Комитета, Комитет в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Комитета. В случае если обеспечить правомерность обработки персональных данных невозможно, Комитет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.

Об устранении допущенных нарушений или об уничтожении персональных данных Комитет обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

8.4. В случае достижения цели обработки персональных данных Комитет обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом и субъектом персональных данных либо если Комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

8.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Комитет обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом и субъектом персональных данных либо если Комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

8.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.3 - 8.5 настоящего раздела, Комитет осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

9. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных

9.1. Приказом Комитета из числа гражданских служащих Комитета, относящихся к высшей или главной группе должностей категории "руководители", и лиц, замещающих государственную должность Волгоградской области, назначается лицо, ответственное за организацию обработки персональных данных в Комитете (далее - ответственный за организацию обработки персональных данных в Комитете).

9.2. Ответственный за организацию обработки персональных данных в Комитете несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных в Комитете в соответствии с положениями законодательства Российской Федерации в области персональных данных.

9.3. Ответственный за организацию обработки персональных данных в Комитете обязан:

1) организовать принятие правовых, организационных и технических мер, в том числе с привлечением иных гражданских служащих Комитета, направленных на обеспечение защиты персональных данных, обрабатываемых в Комитете;

2) организовать осуществление внутреннего контроля за соблюдением гражданскими служащими Комитета требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3) организовывать осуществление разработки и представления на утверждение председателю Комитета состава комиссии по соблюдению требований, предъявляемых к обработке персональных данных, и ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных;

4) организовать доведение до сведения гражданских служащих Комитета положений законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

5) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Комитете;

6) в случае нарушения в Комитете требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

В случае необходимости ответственный за организацию обработки персональных данных в Комитете привлекает к выполнению вышеуказанных мероприятий уполномоченные структурные подразделения Комитета.

9.4. Повседневный контроль соблюдения предусмотренных настоящим распоряжением организационных и технических мер по обеспечению безопасности персональных данных в структурных подразделениях Комитета осуществляют руководители структурных подразделений Комитета.

9.5. Текущий контроль за соблюдением требований законодательства при обработке персональных данных осуществляется Комитетом путем проведения проверок по соблюдению и исполнению законодательства о персональных данных.

9.6. Проверки выполнения требований законодательства при обработке персональных данных проводятся в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Комитета.

9.7. Для организации и обеспечения обработки персональных данных с использованием средств вычислительной техники в Комитете создаются информационные системы персональных данных (далее - ИСПДн).

9.8. Обработка персональных данных осуществляется на автоматизированных рабочих местах, входящих в состав ИСПДн, которые подлежат оценке эффективности на соответствие требованиям защиты информации в форме проведения аттестационных мероприятий в порядке, установленном действующим законодательством, после принятия мер по обеспечению безопасности персональных данных в ИСПДн.

Порядок организации и проведения работ по обеспечению безопасности персональных данных при их обработке в ИСПДн определяется в соответствии с действующим законодательством и локальными правовыми актами Комитета.