Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 1
к указу Губернатора
Ульяновской области
от 6 декабря 2019 г. N 101
Положение
об обработке персональных данных в Правительстве Ульяновской области
1. Общие положения
1.1. Положение об обработке персональных данных в Правительстве Ульяновской области (далее - Положение) определяет процедуры и порядок обработки персональных данных, а также меры, направленные на предотвращение нарушений законодательства Российской Федерации о персональных данных в Правительстве Ульяновской области (далее также - Оператор).
1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Указом Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказом Федеральной службы по техническому и экспортному контролю от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
1.3. Обработка персональных данных Оператором осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации о персональных данных, и должна ограничиваться достижением конкретных, заранее определённых целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
1.4. Для целей настоящего Положения используется следующее понятие:
Оператор - Правительство Ульяновской области, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В остальном для целей настоящего Положения используются основные понятия и термины, определённые Федеральным законом "О персональных данных" и Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации".
1.5. Основные права и обязанности Оператора и субъектов персональных данных.
1.5.1. Обязанности Оператора:
1) предоставлять при сборе персональных данных субъекту персональных данных информацию, касающуюся обработки его персональных данных в объёме, определённом Федеральным законом "О персональных данных";
2) разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные, в случае если предоставление персональных данных является обязательным в соответствии с федеральным законодательством;
3) принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами Российской Федерации, Губернатора Ульяновской области, Правительства Ульяновской области;
4) предоставлять запрашиваемую информацию и принимать меры по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокировке и уничтожению персональных данных, в случае обращения к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных;
5) уведомлять уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять обработку персональных данных.
1.5.2. Права Оператора:
1) обрабатывать персональные данные;
2) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в сфере персональных данных.
1.5.3. Права субъектов персональных данных:
1) иметь доступ к своим персональным данным;
2) требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3) требовать соблюдения своих прав и законных интересов при принятии решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных;
4) обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
1.5.4. Обязанности субъектов персональных данных:
1) предоставлять Оператору достоверные персональные данные, необходимые для достижения Оператором законных целей обработки персональных данных;
2) сообщать Оператору об изменении своих персональных данных.
2. Цели обработки, правовое основание, категории субъектов персональных данных и перечень персональных данных, обрабатываемых Оператором
2.1. В связи с наличием служебных и трудовых отношений, а также в связи с исполнением функций, полномочий и обязанностей, возложенных законодательством Российской Федерации и законодательством Ульяновской области на Правительство Ульяновской области, Оператором обрабатываются персональные данные субъектов персональных данных в целях:
1) обеспечения кадровой работы, в том числе в целях содействия лицам, замещающим государственные должности Ульяновской области, указанные в пунктах 1, 3 -5, 8, 9, 11, 22, 24, 25 статьи 3 Закона Ульяновской области от 30.01.2006 N 06-ЗО "О государственных должностях Ульяновской области" (далее - лица, замещающие государственные должности), государственным гражданским служащим, замещающим должности государственной гражданской службы в Правительстве Ульяновской области и в исполнительных органах государственной власти Ульяновской области (далее - гражданские служащие), в прохождении государственной гражданской службы, в обучении и должностном росте; обеспечения личной безопасности лиц, замещающих государственные должности, гражданских служащих и членов их семей, обеспечения сохранности принадлежащего им имущества и имущества Правительства Ульяновской области и исполнительных органов государственной власти Ульяновской области; учёта результатов исполнения лицами, замещающими государственные должности, и гражданскими служащими своих должностных обязанностей; обеспечения лицам, замещающим государственные должности, и гражданским служащим установленных законодательством Российской Федерации условий труда, гарантий и компенсаций; ведения реестра государственных гражданских служащих Ульяновской области; проведения конкурсов на замещение вакантных должностей государственной гражданской службы Ульяновской области; формирования кадрового резерва Ульяновской области; формирования резерва управленческих кадров Ульяновской области; обеспечения доступа к информации о деятельности Правительства Ульяновской области и исполнительных органов государственной власти Ульяновской области;
2) обеспечения кадровой работы в отношении лиц, замещающих должности в Правительстве Ульяновской области и исполнительных органах государственной власти Ульяновской области, не относящиеся к должностям государственной гражданской службы (далее - работники), содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Правительства Ульяновской области и исполнительных органов государственной власти Ульяновской области;
3) формирования налоговой, бюджетной отчётности, отчётности в государственные внебюджетные фонды Российской Федерации по начисленным и уплаченным страховым взносам; осуществления начислений на выплаты по оплате труда, выплат и компенсаций, предусмотренных законодательством Российской Федерации, нормативными правовыми актами Губернатора Ульяновской области и Правительства Ульяновской области; ведения персонифицированного учёта лиц, в отношении которых осуществляются начисления, выплаты и компенсации;
4) анализа и проведения проверки достоверности и полноты сведений, представленных лицами, замещающими государственные должности (за исключением Губернатора Ульяновской области), гражданскими служащими, кандидатами на замещение должностей государственной гражданской службы Ульяновской области и глав местных администраций муниципальных образований Ульяновской области, лицами, замещающими муниципальные должности в Ульяновской области, о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также сведений о доходах, расходах, об имуществе и обязательствах имущественного характера супруг (супругов) и несовершеннолетних детей; осуществления контроля за расходами;
5) анализа сведений о соблюдении гражданами, замещавшими должности государственной гражданской службы Ульяновской области, ограничений при заключении ими после прекращения служебного контракта, освобождения от замещаемой должности государственной гражданской службы и увольнения с государственной гражданской службы трудового договора и (или) гражданско-правового договора в случаях, предусмотренных федеральными законами; анализа сведений о соблюдении государственными служащими требований к служебному поведению, о предотвращении или урегулировании конфликта интересов и соблюдении установленных для них запретов, ограничений и обязанностей;
6) оформления допуска к сведениям, составляющим государственную тайну;
7) организации наставничества на государственной гражданской службе в Правительстве Ульяновской области и агентствах Ульяновской области (в части их руководителей);
8) отбора кандидатов и формирования списков для обучения по программам дополнительного профессионального образования, краткосрочным обучающим мероприятиям;
9) представления к награждению государственными наградами Российской Федерации, ведомственными наградами федеральных органов исполнительной власти, награждения наградами Ульяновской области, Губернатора Ульяновской области, поощрения мерами поощрения Губернатора Ульяновской области и Правительства Ульяновской области;
10) проведения ежегодных областных конкурсов, выплаты премий по их итогам;
11) организации приёма граждан, обеспечения объективного всестороннего и своевременного рассмотрения устных и письменных обращений граждан, а также обращений в форме электронного документа;
12) организации производства по делам об административных правонарушениях;
13) содействия реализации конституционных полномочий Президента Российской Федерации по осуществлению помилования, обеспечения участия Губернатора Ульяновской области и представителей общественности в рассмотрении вопросов, связанных с помилованием;
14) обеспечения деятельности судов общей юрисдикции в Российской Федерации при рассмотрении уголовных дел;
15) документационного обеспечения заседаний комиссии по делам несовершеннолетних и защите их прав по принятию решения о допуске или недопуске лиц, имевших судимость, к педагогической деятельности, к предпринимательской деятельности и (или) трудовой деятельности в сфере образования, воспитания, развития несовершеннолетних, организации их отдыха и оздоровления, медицинского обеспечения, социальной защиты и социального обслуживания, в сфере детско-юношеского спорта, культуры и искусства с участием несовершеннолетних;
16) содействия в соблюдении прав и законных интересов физических лиц в рамках рассмотрения обращений граждан, объединений граждан и юридических лиц, поступающих в адрес Уполномоченного по правам человека в Ульяновской области, Уполномоченного по защите прав предпринимателей в Ульяновской области, Уполномоченного по правам ребёнка в Ульяновской области.
2.2. Перечень персональных данных, обрабатываемых Оператором в подразделениях, образуемых в Правительстве Ульяновской области, соотнесение их с категориями субъектов персональных данных, а также правовое основание обработки персональных данных определены приложением N 1 к настоящему Положению.
3. Условия и порядок обработки персональных данных
3.1. Обработка персональных данных Оператором допускается в следующих случаях:
1) при наличии согласия субъекта персональных данных на обработку его персональных данных;
2) для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
3) в иных случаях, предусмотренных частью 1 статьи 6 Федерального закона "О персональных данных".
3.2. Перечень действий, совершаемых Оператором с персональными данными субъектов персональных данных в процессе их обработки:
сбор;
запись;
систематизация;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передача (распространение, предоставление, доступ);
блокирование;
удаление;
уничтожение.
3.3. Способы, используемые Оператором при обработке персональных данных.
3.3.1. Автоматизированная обработка персональных данных, реализуемая Оператором в информационных системах персональных данных, определённых перечнем информационных систем, в которых ведётся обработка персональных данных в Правительстве Ульяновской области, согласно приложению N 2 к настоящему Положению.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Такое решение может быть принято только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных законодательством Российской Федерации.
При получении согласия субъекта персональных данных субъекту персональных данных разъясняется порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставляется возможность заявить возражение против такого решения, а также разъясняется порядок защиты субъектом персональных данных своих прав и законных интересов. Возражения субъекта персональных данных рассматриваются Оператором в течение 30 дней со дня их получения, и субъект персональных данных уведомляется о результатах рассмотрения такого возражения.
3.3.2. Неавтоматизированная обработка персональных данных.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обосабливаются от иной информации, в частности, путём фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители).
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. При неавтоматизированной обработке персональных данных различных категорий для каждой категории должен использоваться отдельный материальный носитель.
В случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и иной информации, не являющейся персональными данными, а также при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:
осуществляется копирование персональных данных, подлежащих передаче или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих передаче или использованию;
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уточнение персональных данных при неавтоматизированной обработке производится путём обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путём фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путём изготовления нового материального носителя с уточнёнными персональными данными.
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, соблюдаются условия, установленные при использовании таких типовых форм законодательством Российской Федерации.
3.3.3. Смешанная обработка персональных данных.
При организации смешанной обработки персональных данных учитываются особенности как автоматизированного, так и неавтоматизированного способов обработки персональных данных.
3.4. Осуществление получения персональных данных.
3.4.1. Персональные данные лиц, замещающих государственные должности, гражданских служащих, граждан, претендующих на замещение должностей государственной гражданской службы в Правительстве Ульяновской области и в исполнительных органах государственной власти Ульяновской области (далее - кандидаты), следует получать у них лично. В случае возникновения необходимости получения персональных данных лиц, замещающих государственные должности, гражданских служащих, кандидатов у третьей стороны следует известить об этом лиц, замещающих государственные должности, гражданских служащих, кандидатов заранее, получить их письменные согласия и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.
Запрещается получать, обрабатывать и приобщать к личному делу лиц, замещающих государственные должности, гражданских служащих, кандидатов не установленные федеральными законами персональные данные об их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах.
3.4.2. Персональные данные работников следует получать у них лично. В случае возникновения необходимости получения персональных данных работника у третьей стороны, работник должен быть уведомлён об этом заранее и от него должно быть получено письменное согласие. Оператор должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных.
Запрещается получать и обрабатывать сведения о работнике, относящиеся в соответствии с Федеральным законом "О персональных данных" к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами.
3.4.3. Получение персональных данных физических лиц при исполнении функций, полномочий и обязанностей, возложенных федеральным законодательством и законодательством Ульяновской области, осуществляется путём получения персональных данных непосредственно от субъектов персональных данных.
3.4.4. Если персональные данные получены не от субъекта персональных данных, Оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
наименование и адрес местонахождения Оператора или его представителя;
цель обработки персональных данных и её правовое основание;
предполагаемые пользователи персональных данных;
установленные Федеральным законом "О персональных данных" права субъекта персональных данных;
источник получения персональных данных.
3.4.5. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные подпунктом 3.4.4 настоящего пункта, в случаях, если:
субъект персональных данных уведомлён об осуществлении обработки его персональных данных Оператором;
персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
обработка персональных данных осуществляется Оператором для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
предоставление субъекту персональных данных сведений, предусмотренных подпунктом 3.4.4 настоящего пункта, нарушает права и законные интересы третьих лиц.
3.4.6. Субъект персональных данных может отказаться от предоставления его персональных данных. В этом случае, если предоставление персональных данных является обязательным в соответствии с федеральным законодательством, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные по форме согласно приложению N 3 к настоящему Положению.
3.5. Получение Оператором согласия субъекта персональных данных на обработку его персональных данных.
3.5.1. В случаях, предусмотренных Федеральным законом "О персональных данных", обработка персональных данных Оператором осуществляется только с согласия в письменной форме субъекта персональных данных.
Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признаётся согласие субъекта персональных данных в форме электронного документа, подписанного электронной подписью, соответствующей требованиям статьи 6 Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи".
Типовая форма согласия на обработку персональных данных субъекта персональных данных определена приложением N 4 к настоящему Положению.
Согласие на обработку персональных данных вступает в силу с момента его подписания субъектом персональных данных и действует до достижения целей обработки персональных данных, а также в течение периода времени, необходимого для соблюдения Оператором требований законодательства Российской Федерации о порядке хранения отдельных видов документов, содержащих персональные данные.
3.5.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных по форме согласно приложению N 5 к настоящему Положению. В соответствии с частью 2 статьи 9 Федерального закона "О персональных данных" в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии следующих оснований:
для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
в иных случаях, предусмотренных частью 1 статьи 6 Федерального закона "О персональных данных".
3.5.3. Обработка персональных данных, необходимых для организации приёма и рассмотрения обращений граждан, объединений граждан и юридических лиц, может осуществляться без согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных", Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".
3.5.4. Обработка персональных данных гражданских служащих и работников исполнительных органов государственной власти Ульяновской области в целях, указанных в подпунктах 1 и 2 пункта 2.1 раздела 2 настоящего Положения, ведётся Оператором на основании соглашений о взаимодействии в сфере кадровой работы и профилактики коррупционных и иных правонарушений, заключённых между Правительством Ульяновской области и каждым исполнительным органом государственной власти Ульяновской области, и с согласия субъектов персональных данных.
3.6. Соблюдение Оператором конфиденциальности при обработке персональных данных.
3.6.1. Персональные данные являются конфиденциальной информацией. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.
В случае, если третье лицо, обратившееся к Оператору с запросом на получение персональных данных, не уполномочено федеральным законодательством на получение персональных данных либо отсутствует письменное согласие субъекта персональных данных, Оператор обязан отказать в предоставление персональных данных. Лицу, обратившемуся с запросом на получение персональных данных, выдаётся письменное уведомление об отказе в предоставлении персональных данных.
3.6.2. Лица, имеющие допуск к персональным данным, предупреждаются Оператором о том, что обрабатываемые ими персональные данные могут быть использованы лишь в целях, для которых они обрабатываются, и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме согласно приложению N 6 к настоящему Положению.
Перечень лиц, имеющих доступ к персональным данным, обрабатываемым Оператором, утверждается распоряжением Правительства Ульяновской области. Указанные лица имеют право получать только те персональные данные, которые необходимы для выполнения их должностных обязанностей.
Перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, определён приложением N 7 к настоящему Положению.
3.7. Меры, направленные на выполнение Оператором обязанностей, предусмотренных Федеральным законом "О персональных данных".
3.7.1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам относятся:
1) назначение Оператором ответственного за организацию обработки персональных данных;
2) издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, нормативных правовых актов Губернатора Ульяновской области и Правительства Ульяновской области по вопросам обработки персональных данных, а также нормативных правовых актов Губернатора Ульяновской области и Правительства Ульяновской области, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о персональных данных, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4) осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, нормативным правовым актам Губернатора Ульяновской области и Правительства Ульяновской области;
5) оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства Российской Федерации. Возможный вред субъектам персональных данных оценивается в соответствии с методикой и на основании экспертных значений, приведённых в приложении N 8 к настоящему Положению, и осуществляется в рамках проведения Оператором внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Правительстве Ульяновской области;
6) ознакомление лиц, имеющих допуск к персональным данным и непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, нормативными правовыми актами Губернатора Ульяновской области и Правительства Ульяновской области по вопросам обработки персональных данных.
3.7.2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор при осуществлении сбора персональных данных с использованием информационно-телекоммуникационной сети "Интернет" обязан опубликовать в информационно-телекоммуникационной сети "Интернет" документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием информационно-телекоммуникационной сети "Интернет".
3.8. Меры по обеспечению Оператором безопасности персональных данных при их обработке.
3.8.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
3.8.2. Обеспечение безопасности персональных данных в информационных системах персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных;
3) применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учётом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационных системах персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.
3.8.3. Обеспечение безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности:
1) определением мест хранения персональных данных (материальных носителей) в отношении каждой категории персональных данных и утверждением перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
2) обеспечением раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
3) определением перечня мер, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, к которым в том числе относятся:
а) хранение материальных носителей в специальных шкафах, сейфах;
б) опечатывание (опломбирование) шкафов и сейфов, в которых хранятся персональные данные, хранение ключей от сейфов и шкафов, печатей и пломбиров в местах, недоступных для посторонних лиц;
в) сдача под охрану помещений, где осуществляется работа с персональными данными;
г) запрет доступа к персональным данным (материальным носителям) иных лиц, кроме указанных в подпункте 3.6.2 пункта 3.6 настоящего раздела;
д) контроль доступа в помещения, где осуществляется работа с персональными данными, иных лиц, включая соблюдение пропускного режима;
е) запрет нахождения посторонних лиц в служебных помещениях, где располагаются шкафы, сейфы, персональные компьютеры, в которых находятся персональные данные;
ж) запрет на обработку персональных данных в присутствии лиц, не допущенных к их обработке;
з) осуществление руководителями подразделений, образуемых в Правительстве Ульяновской области, контроля за хранением и использованием материальных носителей персональных данных.
3.9. Осуществление Оператором хранения персональных данных.
3.9.1. Не допускается хранение персональных данных дольше, чем это необходимо для достижения целей их обработки либо чем это определено законодательством Российской Федерации.
3.9.2. Персональные данные субъектов персональных данных на материальных носителях формируются в дела в соответствии со сводной номенклатурой дел Правительства Ульяновской области и хранятся в подразделениях, образуемых в Правительстве Ульяновской области, к полномочиям которых относится обработка персональных данных в соответствии с утверждёнными положениям о них, и в архиве Правительства Ульяновской области.
3.9.3. Сроки хранения персональных данных субъектов персональных данных на материальных носителях в подразделениях, образуемых в Правительстве Ульяновской области, и в архиве Правительства Ульяновской области определены в соответствии с законодательством Российской Федерации в сводной номенклатуре дел Правительства Ульяновской области, в частности:
1) персональные данные, содержащиеся в личных делах лиц, замещающих государственные должности, гражданских служащих Правительства Ульяновской области, работников Правительства Ульяновской области хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение периода прохождения службы (работы) и 10 лет после увольнения с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области, где хранятся в течение 50 лет с момента увольнения;
2) персональные данные, содержащиеся в распоряжениях Губернатора Ульяновской области по личному составу в отношении лиц, замещающих государственные должности, гражданских служащих Правительства Ульяновской области, работников Правительства Ульяновской области хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение 2 лет с последующим формированием и передачей указанных документов архив Правительства Ульяновской области, где хранятся в течение 5 лет с даты регистрации распоряжения;
3) персональные данные, содержащиеся в распоряжениях Губернатора Ульяновской области по кадровым вопросам в отношении лиц, замещающих государственные должности, гражданских служащих Правительства Ульяновской области, работников Правительства Ульяновской области хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение 2 лет, с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области, где хранятся в течение 50 лет с даты регистрации распоряжения;
4) персональные данные, содержащиеся в личных делах гражданских служащих исполнительных органов государственной власти Ульяновской области и работников исполнительных органов государственной власти Ульяновской области, хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение периода прохождения службы (работы), после увольнения личное дело передаётся в соответствующий исполнительный орган государственной власти Ульяновской области;
5) персональные данные, собираемые для проведения конкурсов на замещение вакантных должностей государственной гражданской службы в Правительстве Ульяновской области и исполнительных органах государственной власти Ульяновской области, хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение 3 лет со дня завершения конкурса;
6) персональные данные, собираемые при проведении конкурсов на включение в кадровый резерв Ульяновской области и резерв управленческих кадров Ульяновской области, хранятся в подразделении, образуемом в Правительстве Ульяновской области, в период прохождения конкурсного отбора и нахождения субъекта персональных данных в соответствующем резерве, в последующем подлежат хранению в течение 3 лет в подразделении, образуемом в Правительстве Ульяновской области. Решения, протоколы и распоряжения Правительства Ульяновской области о включении в кадровый резерв Ульяновской области и резерв управленческих кадров Ульяновской области хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение 15 лет с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области на постоянное хранение;
7) персональные данные, содержащиеся в наградных листах лиц, награждённых государственными наградами Российской Федерации, наградами Ульяновской области, мерами поощрения Губернатора Ульяновской области, наградами Губернатора Ульяновской области, в наградных листах лиц, замещающих государственные должности, гражданских служащих Правительства Ульяновской области, работников Правительства Ульяновской области хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение одного года с последующим формированием дел и передачей указанных документов в архив Правительства Ульяновской области на постоянное хранение;
8) персональные данные, обработка которых ведётся в целях формирования налоговой, бюджетной отчётности, отчётности во внебюджетные фонды Российской Федерации по начисленным и уплаченным страховым взносам, осуществления начислений на выплаты по оплате труда, выплат и компенсаций в Правительстве Ульяновской области, хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение 5 лет с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области, где они хранятся в течение 50 лет после достижения целей обработки персональных данных;
9) персональные данные, обрабатываемые в целях соблюдения законодательства о противодействии коррупции, указанных в подпунктах 4 и 5 пункта 2.1 раздела 2 настоящего Положения, хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение 5 лет с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области, где они хранятся в течение 50 лет после достижения целей обработки персональных данных;
10) персональные данные, обрабатываемые в целях организации приёма граждан, обеспечения объективного всестороннего и своевременного рассмотрения устных и письменных обращений граждан, а также обращений в форме электронного документа, хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение одного года с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области, где они хранятся в течение 5 лет после достижения целей обработки персональных данных;
11) персональные данные, обрабатываемые при организации производства по делам об административных правонарушениях, хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение 5 лет после достижения целей обработки персональных данных;
12) персональные данные, подлежащие обработке при оформлении допуска к сведениям, составляющим государственную тайну, хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течении всего срока действия допуска и 5 лет после его окончания;
13) персональные данные, содержащиеся в договорах об обучении, заключённых Правительством Ульяновской области, хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение 2 лет с последующим формированием и передачей указанных документов в архив Правительства Ульяновской области, где они хранятся в течение 5 лет с даты заключения договоров;
14) персональные данные, собираемые в целях содействия реализации конституционных полномочий Президента Российской Федерации по осуществлению помилования, обеспечения участия Губернатора Ульяновской области и представителей общественности в рассмотрении вопросов, связанных с помилованием, уничтожаются при достижении цели обработки, при этом протоколы, заключения, представления по принятым решениям о помиловании передаются в архив Правительства Ульяновской области на постоянное хранение;
15) персональные данные, обрабатываемые в целях обеспечения деятельности судов общей юрисдикции в Российской Федерации при рассмотрении уголовных дел, хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение 5 лет после достижения целей обработки персональных данных;
16) персональные данные, обрабатываемые в целях документационного обеспечения заседаний комиссии по делам несовершеннолетних и защите их прав по принятию решения, указанного в подпункте 15 пункта 2.1 раздела 2 настоящего Положения, хранятся в подразделении, образуемом в Правительстве Ульяновской области, в течение 5 лет с последующим формированием дел и передачей указанных документов в архив Правительства Ульяновской области на постоянное хранение;
17) персональные данные, содержащиеся в обращениях граждан, объединений граждан и юридических лиц, поступающих в адрес Уполномоченного по правам человека в Ульяновской области, Уполномоченного по защите прав предпринимателей в Ульяновской области, Уполномоченного по правам ребёнка в Ульяновской области, хранятся в соответствующих подразделениях, образуемых в Правительстве Ульяновской области, в течение 5 лет после достижения целей обработки.
3.9.4. Персональные данные субъектов персональных данных, внесённые в информационные системы персональных данных Оператора, хранятся в базах данных на сервере, расположенном по адресу: 432011, Ульяновская область, город Ульяновск, улица Льва Толстого, дом 53.
3.9.5. Срок хранения персональных данных, внесённых в информационные системы персональных данных Правительства Ульяновской области, должен соответствовать сроку хранения на материальных носителях.
3.10. Актуализация, исправление и блокирование Оператором персональных данных.
3.10.1. В процессе обработки персональных данных субъектов персональных данных Оператору необходимо обеспечивать контроль за актуальностью, достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
Актуализация и исправление персональных данных осуществляются также на основании заявления субъекта персональных данных. Заявления субъектов персональных данных рассматриваются в соответствии с разделом 4 настоящего Положения.
3.10.2. Блокирование персональных данных осуществляется Оператором на основании заявления субъекта персональных данных в следующих случаях:
1) предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту персональных данных и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
2) выявления неправомерных действий с персональными данными Оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных.
3.11. Уничтожение Оператором персональных данных.
3.11.1. Персональные данные подлежат уничтожению в следующих случаях:
1) при достижении целей обработки персональных данных и по истечении сроков их хранения;
2) при выявлении несоответствия содержания и объёма персональных данных заявленным целям обработки;
3) предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту персональных данных и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3.11.2. Уничтожение персональных данных осуществляется комиссией по уничтожению персональных данных (далее - комиссия), состав которой утверждается Первым заместителем Губернатора Ульяновской области - руководителем администрации Губернатора Ульяновской области. В состав комиссии в обязательном порядке включаются представители подразделения, образуемого в Правительстве Ульяновской области, в котором велась обработка уничтожаемых персональных данных, а также отдела защиты информации администрации Губернатора Ульяновской области.
Комиссия состоит из председателя комиссии, заместителя председателя комиссии, секретаря комиссии и членов комиссии.
Заседания комиссии инициируются подразделением, образуемым в Правительстве Ульяновской области, ведущим обработку персональных данных, при возникновении необходимости уничтожения персональных данных. Факт уничтожения персональных данных или носителей персональных данных фиксируется в акте об уничтожении персональных данных субъектов персональных данных по форме согласно приложению N 9 к настоящему Положению.
3.11.3. Уничтожение персональных данных на электронных носителях производится путём механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
Уничтожение персональных данных на бумажных носителях производится путём сжигания или измельчения.
При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных на данном материальном носителе (удаление, вымарывание).
3.11.4. Управлением делопроизводства и работы с обращениями граждан и организаций администрации Губернатора Ульяновской области осуществляется выделение архивных документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
4. Порядок рассмотрения запросов субъектов персональных данных или их представителей
4.1. Субъект персональных данных может направить Оператору запрос или обращение для получения информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые Оператором способы обработки персональных данных;
наименование и местонахождение Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";
информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.
4.2. Субъект персональных данных может направить запрос или обращение Оператору в случае, если персональные данные, касающиеся данного субъекта, являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, при этом субъект персональных данных вправе требовать от Оператора уточнения, блокирования, уничтожения таких персональных данных.
4.3. Субъект персональных данных может направить Оператору запрос, содержащий отзыв согласия на обработку персональных данных. При наличии оснований, указанных в пункте 3.5 раздела 3 настоящего Положения, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных.
4.4. При предоставлении персональных данных, указанных в пункте 4.1 настоящего раздела, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4.5. Право субъекта персональных данных может быть ограничено в соответствии с Федеральным законом "О персональных данных" и другими федеральными законами.
4.6. Информация, указанная в пункте 4.1 настоящего раздела, предоставляется субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью, соответствующей требованиям статьи 6 Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи".
4.7. Порядок рассмотрения запросов и обращений субъектов персональных данных определён Инструкцией по работе с обращениями и запросами граждан и организаций в Правительстве Ульяновской области, утверждённой постановлением Правительства Ульяновской области от 27.05.2013 N 195-П "Об утверждении Инструкции по работе с обращениями и запросами граждан и организаций в Правительстве Ульяновской области".
4.8. Запросы и обращения субъектов персональных данных о предоставлении, изменении, блокировании или уничтожении их персональных данных рассматриваются в подразделениях, образуемых в Правительстве Ульяновской области, осуществляющих обработку данных субъекта персональных данных, направившего запрос или обращение.
4.9. В случае, если информация, указанная в пункте 4.1 настоящего раздела, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения информации, указанной в пункте 4.1 настоящего раздела, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения информации, указанной в пункте 4.1 настоящего раздела, а также в целях ознакомления с обрабатываемыми персональными данными до истечения указанного срока в случае, если такие сведения и обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объёме по результатам рассмотрения первоначального обращения. Повторный запрос также должен содержать обоснование направления повторного запроса.
Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса в случае его несоответствия требованиям, предусмотренным для направления повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
4.10. В случае, если в ходе рассмотрения запроса, обращения субъектом персональных данных Оператору предоставлены сведения, подтверждающие, что персональные данные, относящиеся к этому субъекту персональных данных, являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления таких сведений. При предоставлении субъектом персональных данных сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные в срок, не превышающий 7 рабочих дней со дня предоставления таких сведений.
4.11. При получении запроса от уполномоченного органа по защите прав субъектов персональных данных Оператор обязан предоставить запрашиваемую информацию в этот орган в течение 30 дней с даты получения такого запроса.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.