Приказ Департамента промышленности и транспорта Воронежской области от 15.05.2020 N 62-01-06/166 "О внесении изменений в приказ департамента промышленности Воронежской области от 15.05.2018 N 62-01-06/96 "Об утверждении документов, определяющих политику в отношении обработки персональных данных в департаменте промышленности и транспорта Воронежской области"

Приказ Департамента промышленности и транспорта Воронежской области от 15 мая 2020 г. N 62-01-06/166
"О внесении изменений в приказ департамента промышленности Воронежской области от 15.05.2018 N 62-01-06/96 "Об утверждении документов, определяющих политику в отношении обработки персональных данных в департаменте промышленности и транспорта Воронежской области"

В соответствии с Федеральными законами от 27.07.2006 N 152-ФЗ "О персональных данных", от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 01.04.2019 N 48-ФЗ "О внесении изменений в Федеральный закон "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" и отдельные законодательные акты Российской Федерации", Трудовым кодексом Российской Федерации, постановлением правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", в целях актуализации приказов департамента промышленности и транспорта Воронежской области приказываю:

1. Внести в приказ департамента промышленности Воронежской области о 15.05.2018 N 62-01-06/96 "Об утверждении документов, определяющих политику в отношении обработки персональных данных в департаменте промышленности и транспорта Воронежской области" (в редакции приказа департамента промышленности и транспорта Воронежской области от 18.04.2019 N 62-01-06/125) следующие изменения:

1.1. В пункте 1:

1.1.1. В подпункте 1.3 слово "установленных" заменить словом "установленным".

1.1.2. В подпункте 1.5 слово "Перечень" заменить словом "Перечни".

1.2. В Правилах обработки персональных данных в департаменте промышленности и транспорта Воронежской области:

1.2.1. Пункт 1.2 дополнить абзацами следующего содержания:

"Обезличивание персональных данных в Департаменте не осуществляется.

Для автоматизированной обработки персональных данных в Департаменте применяются информационные системы персональных данных, оператором которых является Департамент, а также информационные системы других операторов.".

1.2.2. Пункт 1.4 изложить в следующей редакции:

"1.4. В Департаменте к работе с персональными данными допускаются лица, замещающие государственные должности Воронежской области, лица, замещающие должности государственной гражданской службы Воронежской области в Департаменте и лица, замещающие должности, не являющиеся должностями государственной гражданской службы Воронежской области в Департаменте (далее - служащие Департамента), в должностные обязанности которых входит обработка персональных данных либо осуществление доступа к персональным данным, в соответствии с Перечнем, указанным в подпункте 1.6 настоящего приказа.

Служащие Департамента, замещающие должности, включенные в Перечень должностей, уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Департаменте. Обработка персональных данных либо доступ к персональным данным, за исключением общедоступных персональных данных, служащими Департамента, не уполномоченными на совершение таких действий с персональными данными в порядке, предусмотренном настоящими Правилами, в Департаменте запрещены.

Отделом правового и организационного обеспечения Департамента осуществляется ведение перечня лиц, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Департаменте.

Ответственность за наличие у начальников структурных подразделений Департамента полномочий осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Департаменте несет лицо, ответственное за организацию обработки персональных данных в Департаменте. Ответственность за наличие у остальных служащих Департамента полномочий осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Департаменте несут начальники структурных подразделений Департамента, в которых служащие Департамента замещают соответствующие должности.

Служащие Департамента, уполномоченные осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Департаменте, могут осуществлять обработку персональных данных как неавтоматизированным, так и автоматизированным способами.".

1.2.3. Пункт 1.6 признать утратившим силу.

1.2.4. Пункт 2.2 изложить в следующей редакции:

"2.2. Ознакомление служащих Департамента, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Департаменте, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), правовыми актами Воронежской области и по вопросам обработки персональных данных.

Перед началом обработки персональных данных служащие Департамента, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Департаменте, подписывают обязательство служащего Департамента, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (далее - обязательство прекратить обработку персональных данных), и предоставляют его в отдел автоматизации и защиты информации Департамента.

Обработка персональных данных, за исключением общедоступных персональных данных, служащими Департамента до момента подписания обязательства прекратить обработку персональных данных запрещается.

Подписание служащими Департамента обязательства прекратить обработку персональных данных, предусмотренного настоящими Правилами, обеспечивает отдел правового и организационного обеспечения Департамента.".

1.2.5. Дополнить пунктами 2.8 и 2.9 следующего содержания:

"2.8. Соблюдение условий при хранении носителей персональных данных, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним, посредством принятия мер обеспечения безопасности, включающих:

2.8.1. Хранение бумажных и машинных носителей информации (магнитные и оптические диски, флеш-накопители, накопители на жестких магнитных дисках, твердотельные накопители и другие), содержащих персональные данные (далее - машинные носители персональных данных), только в помещениях, включенных в перечень помещений, в которых осуществляется обработка, в том числе хранение, персональных данных (носителей персональных данных) в Департаменте, утвержденный правовым актом Департамента, в условиях, исключающих возможность доступа посторонних лиц к персональным данным, в закрываемых сейфах или шкафах (ящиках).

2.8.2. Резервное копирование персональных данных, содержащихся в информационных системах персональных данных, применяемых в Департаменте, на резервные машинные носители персональных данных, которое осуществляется операторами соответствующих информационных систем персональных данных.

2.8.3. Раздельное хранение персональных данных, обработка которых осуществляется в различных целях, определенных настоящими Правилами, на разных материальных носителях, которое обеспечивается структурными подразделениями Департамента, осуществляющими обработку персональных данных неавтоматизированным способом (без использования средств вычислительной техники).

2.8.4. Уничтожение персональных данных на машинных носителях персональных данных в случае их передачи (в том числе в составе технических средств) для их дальнейшей эксплуатации в другие структурные подразделения Департамента или иные организации, а также при передаче таких машинных носителей персональных данных (в том числе в составе технических средств) на ремонт в сторонние организации, не имеющие права доступа к персональным данным, содержащимся на соответствующих машинных носителях персональных данных, или при выводе из эксплуатации (списании) указанных машинных носителей персональных данных (в том числе в составе технических средств), которое осуществляется отделом правового и организационного обеспечения Департамента.

2.9. Принятие мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, применяемых в Департаменте, операторами этих информационных систем во взаимодействии с отделом правового и организационного обеспечения Департамента.".

1.2.6. Разделы 3 - 6 изложить в следующей редакции:

"3. Цели обработки персональных данных

3.1. В Департаменте обработка персональных данных осуществляется в следующих целях:

3.1.1. Реализация кадровой политики в Департаменте в пределах установленной компетенции.

3.1.2. Реализация полномочий руководителя Департамента по награждению Почетной грамотой Департамента и внесению предложений о награждении наградами Воронежской области и ведомственными наградами Российской Федерации.

3.1.3. Реализация задач в Департаменте по профилактике коррупционных и иных правонарушений.

3.1.4. Ведение воинского учета и бронирования граждан Российской Федерации, пребывающих в запасе Вооруженных Сил Российской Федерации и служащих в Департаменте.

3.1.5. Обеспечение рассмотрения обращений граждан, поступивших в Департамент, в том числе организация личного приема граждан.

3.1.6. Предоставление государственных услуг и осуществление государственных и иных функций Департаментом.

4. Содержание обрабатываемых персональных данных

4.1. Служащими Департамента, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Департаменте, допускается обработка персональных данных всех категорий, которые обрабатываются в Департаменте.

4.2. Содержание обрабатываемых персональных данных для каждой цели обработки персональных данных определено Перечнями персональных данных, обрабатываемых в Департаменте в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных и иных функций.

5. Категории субъектов персональных данных

5.1. В Департаменте обрабатываются персональные данные следующих субъектов персональных данных:

5.1.1. Лиц, замещающих или ранее замещавших должности государственной гражданской службы Воронежской области и иные должности, не являющиеся должностями государственной гражданской службы Воронежской области, в Департаменте.

5.1.2. Лиц, замещающих или ранее замещавших должности руководителей подведомственных Департаменту государственных учреждений Воронежской области.

5.1.3. Лиц, претендующих на замещение вакантных должностей руководителей подведомственных Департаменту государственных учреждений Воронежской области.

5.1.4. Близких родственников (отец, мать, братья, сестры и дети) лиц, замещающих или ранее замещавших должности государственной гражданской службы Воронежской области и иные должности в Департаменте, должности руководителей подведомственных Департаменту государственных учреждений Воронежской области, а также лиц, претендующих на замещение вакантных должностей руководителей подведомственных Департаменту государственных учреждений Воронежской области.

5.1.5. Физических лиц в рамках рассмотрения обращений граждан.

5.1.6. Физических лиц, обработка персональных данных которых осуществляется в рамках предоставления государственных услуг и осуществления государственных и иных функций Департаментом.

5.1.7. Иных физических лиц, обработка персональных данных которых производится в целях, установленных настоящими Правилами.

5.2. Категории субъектов персональных данных для каждой цели обработки персональных данных определяются Перечнями персональных данных, обрабатываемых в Департаменте в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных и иных функций.

5.3. В случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", получение согласий субъектов персональных данных на обработку их персональных данных Департаментом обеспечивается структурными подразделениями Департамента, которые осуществляют сбор персональных данных у субъектов персональных данных.

Согласия субъектов персональных данных на обработку их персональных данных Департаментом, полученные в письменной форме, хранятся в структурных подразделениях Департамента, которые осуществляют сбор персональных данных, в течение трех лет с даты прекращения обработки персональных данных соответствующих субъектов персональных данных.

Ответственность за наличие согласия субъектов персональных данных на обработку их персональных данных Департаментом несут начальники структурных подразделений Департамента, должностные лица Департамента, которыми осуществляется сбор персональных данных.

6. Сроки обработки и хранения персональных данных

6.1. Сроки обработки и хранения персональных данных в Департаменте определяются правовыми актами, регламентирующими порядок их сбора и обработки.

В случае если правовыми актами конкретный срок обработки и хранения персональных данных не установлен, то их обработка осуществляется до достижения цели обработки персональных данных или утраты необходимости в достижении цели обработки персональных данных.

6.2. Срок хранения персональных данных в электронном виде должен соответствовать сроку хранения персональных данных на бумажных носителях, если иное не установлено законодательством Российской Федерации.

6.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Департаментом обработка соответствующих персональных данных в Департаменте должна быть прекращена, если Департамент не вправе осуществлять обработку таких персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.".

1.2.7. Пункт 7.1 дополнить абзацем следующего содержания:

"Срок уничтожения персональных данных не должен превышать тридцати дней с даты достижения цели обработки персональных данных (утраты необходимости в достижении цели обработки персональных данных), если иное не предусмотрено законодательством Российской Федерации.".

1.2.8. Пункт 7.2 изложить в следующей редакции:

"7.2. Структурными подразделениями Департамента осуществляется контроль и отбор по истечении срока хранения, установленного законодательством Российской Федерации, обрабатываемых персональных данных, содержащихся на бумажных и машинных носителях персональных данных, в том числе в информационных системах персональных данных, подлежащих уничтожению.

Уничтожение персональных данных, срок хранения которых истек, производится служащими Департамента, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Департаменте, а также оператором информационной системы персональных данных (в случае внесения персональных данных в информационную систему) по решению начальника соответствующего структурного подразделения Департамента.".

1.2.9. Пункт 7.5 изложить в следующей редакции:

"7.5. В Департаменте уничтожение бумажных носителей персональных данных осуществляется с использованием уничтожителей бумаги.

Уничтожение персональных данных на машинных носителях персональных данных осуществляется с использованием средств гарантированного удаления информации или путем физического разрушения машинного носителя персональных данных, исключающего дальнейшее восстановление информации.

Уничтожение персональных данных, внесенных в информационные системы персональных данных, применяемые в Департаменте, осуществляется оператором соответствующей информационной системы по заявкам, поступившим от структурных подразделений Департамента".

1.2.10. Дополнить пунктом 7.6 следующего содержания:

"7.6. В целях реализации меры, предусмотренной подпунктом 2.8.4 настоящих Правил, структурные подразделения Департамента направляют письменную заявку в отдел правового и организационного обеспечения Департамента на уничтожение персональных данных на машинном носителе персональных данных (физическое разрушение машинного носителя персональных данных).

В срок, не превышающий 10 рабочих дней с даты поступления заявки, отделом правового и организационного обеспечения Департамента направляется заявителю уведомление в письменной форме, содержащее результаты уничтожения персональных данных на машинном носителе персональных данных (физического разрушения машинного носителя персональных данных), к которому прилагается соответствующий машинный носитель персональных данных (в случае если машинный носитель персональных данных не подвергался физическому разрушению).".

1.3. В Правилах рассмотрения запросов субъектов персональных данных или их представителей в департаменте промышленности и транспорта Воронежской области:

1.3.1. В пункте 3 слово "Субъекты" заменить словом "Субъект".

1.3.2. Дополнить пунктом 13 следующего содержания:

"13. Ответственность за соблюдение правил рассмотрения запросов субъектов персональных данных или их представителей в Департаменте возлагается на лицо, ответственное за организацию обработки персональных данных в Департаменте.".

1.4. Правила осуществления внутреннего контроля соответствия обработки персональных данных в департаменте промышленности и транспорта Воронежской области требованиям к защите персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и правовыми актами департамента промышленности и транспорта Воронежской области изложить в новой редакции согласно приложению N 1 к настоящему приказу.

1.5. Перечень должностей служащих департамента промышленности и транспорта Воронежской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, изложить в новой редакции согласно приложению N 2 к настоящему приказу.

1.6. Должностные обязанности лица, ответственного за организацию обработки персональных данных в департаменте промышленности и транспорта Воронежской области, изложить в новой редакции согласно приложению N 3 к настоящему приказу.

1.7. Перечень персональных данных, обрабатываемых в департаменте промышленности и транспорта Воронежской области в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных и иных функций, изложить в новой редакции согласно приложению N 4 к настоящему приказу.

1.8. Типовую форму обязательства служащего департамента промышленности и транспорта Воронежской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, изложить в новой редакции согласно приложению N 5 к настоящему приказу.

1.9. Типовую форму согласия на обработку персональных данных служащих департамента промышленности и транспорта Воронежской области, иных субъектов персональных данных изложить в новой редакции согласно приложению N 6 к настоящему приказу.

1.10. Порядок доступа служащих департамента промышленности и транспорта Воронежской области в помещения, в которых ведется обработка персональных данных, изложить в новой редакции согласно приложению N 7 к настоящему приказу.

2. Контроль за исполнением настоящего приказа оставляю за собой.

Руководитель департамента

А.Н. Десятириков