Приложение N 1. Правила обработки персональных данных в Департаменте дорожного хозяйства и транспорта Ивановской области. Приказ Департамента дорожного хозяйства и транспорта Ивановской области от 29.06.2020 N 313 "Об утверждении документов, определяющих политику Департамента дорожного хозяйства и транспорта Ивановской области в отношении обработки персональных данных"

Приложение N 1
к приказу
начальника Департамента
дорожного хозяйства и транспорта
Ивановской области
от 29.06.2020 N 313

Правила
обработки персональных данных в Департаменте дорожного хозяйства и транспорта Ивановской области

1. Общие положения

Правила обработки персональных данных (далее - Правила), устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Департаменте дорожного хозяйства и транспорта Ивановской области (далее - Департамент), разработаны на основании требований Трудового кодекса Российской Федерации от 30.12.2001 N 197-ФЗ, федеральных законов от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", от 27.07.2006 N 152-ФЗ "О персональных данных", Указа Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлений Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Целью Правил является определение порядка действий при обработке персональных данных, содержания обрабатываемых персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроков их обработки и хранения, порядка уничтожения при достижении целей обработки или при наступлении иных законных оснований в Департаменте.

Информация о персональных данных может содержаться на бумажных и (или) электронных носителях, а также в информационных системах персональных данных Департамента.

Департамент осуществляет обработку персональных данных как с использованием средств вычислительной техники (в том числе в информационных системах), так и без использования этих средств.

В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Действие настоящих Правил не распространяется на отношения, возникшие при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

2. Принципы и цели обработки персональных данных

Принципы обработки персональных данных:

обработка персональных данных должна осуществляться на законной и справедливой основе;

обработка персональных данных должна ограничиваться достижением конкретных определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработке подлежат только персональные данные, которые отвечают целям их обработки;

содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица Департамента должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

Цели обработки персональных данных:

выполнение требований законодательства о государственной гражданской службе Российской Федерации, Трудового кодекса Российской Федерации, исполнение условий договора гражданско-правового характера, ведение кадрового и бухгалтерского учета;

исполнение Федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд";

обеспечение реализации отдельных нормативных правовых актов Ивановской области;

рассмотрение обращений граждан в порядке, предусмотренном Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

исполнение полномочий Департамента по осуществлению нормативно-правового регулирования, функций по контролю (надзору) в сферах деятельности, установленных Положением Департамента от 19.12.2014 N 562-п;

статистические или иные исследовательские цели, за исключением целей, указанных в статье 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", при условии обязательного обезличивания персональных данных.

3. Мероприятия, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

Департамент устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

издание нормативных правовых актов, локальных актов Департамента по вопросам обработки персональных данных;

назначение ответственного за организацию обработки персональных данных;

определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Департаменте и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;

ознакомление государственных гражданских служащих Департамента, непосредственно осуществляющих обработку персональных данных, под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Департамента в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Департамента в отношении обработки персональных данных.

4. Содержание обрабатываемых персональных данных

Информация о персональных данных может содержаться:

на бумажных носителях;

на электронных носителях;

в информационных системах Департамента;

на интернет-ресурсах, оператором которых является Департамент.

Персональные данные в Департаменте обрабатываются как без использования средств автоматизации, так и с применением средств вычислительной техники.

5. Категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения

К категориям субъектов, персональные данные которых обрабатываются в Департаменте, относятся:

государственные гражданские служащие Департамента;

близкие родственники гражданских служащих, персональные данные которых необходимы в целях выполнения требований законодательства о государственной гражданской службе Российской Федерации и законодательства о противодействии коррупции;

работники, замещающие должности в Департаменте, не являющиеся должностями государственной гражданской службы;

граждане, включенные в кадровый резерв на государственной гражданской службе Ивановской области;

граждане, не допущенные к участию в конкурсах;

граждане, участвовавшие в конкурсах, но не прошедшие конкурсный отбор;

граждане, претендующие на замещение вакантной должности государственной гражданской службы Ивановской области в Департаменте;

граждане, персональные данные которых необходимы для обеспечения реализации задач и функций Департамента;

кандидаты на замещение вакантных должностей и на включение в кадровый резерв Департамента;

граждане, обратившиеся в Департамент за предоставлением государственной функции по осуществлению нормативно-правового регулирования, функций по контролю (надзору) в сферах деятельности, установленных Положением Департамента дорожного хозяйства и транспорта Ивановской области от 19.12.2014 N 562-п;

граждане, обратившиеся непосредственно в Департамент, а также граждане, чьи обращения поступили в Департамент в соответствии с его компетенцией из других государственных органов, органов местного самоуправления и от иных должностных лиц в порядке, предусмотренном Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".

Документы, содержащие персональные данные, обрабатываются в сроки, обусловленные заявленными целями их обработки.

Использование персональных данных осуществляется с момента их получения Департаментом и прекращается:

по достижении целей обработки персональных данных;

в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

Сроки хранения персональных данных устанавливаются в соответствии с номенклатурой дел Департамента.

6. Организация обработки, сроки обработки и хранения персональных данных

Обработка персональных данных в Департаменте включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, в порядке и случаях, установленных законодательством Российской Федерации.

В случае необходимости предоставления персональных данных, предусмотренных действующим законодательством, субъектам персональных данных разъясняются юридические последствия отказа в предоставлении своих персональных данных. В случае отказа субъекта персональных данных предоставить свои персональные данные разъяснения юридических последствий такого отказа оформляются в письменном виде согласно приложению 12 к настоящему приказу.

Не допускается получать и обрабатывать персональные данные субъектов, не предусмотренные перечнями персональных данных, которые обрабатываются в Департаменте, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Передача (распространение, предоставление) персональных данных субъектов третьим лицам должна осуществляться с согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.

Документы, содержащие персональные данные, обрабатываются в сроки, обусловленные заявленными целями их обработки.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом.

Персональные данные, предоставляемые субъектами персональных данных на бумажном носителе, хранятся на бумажных носителях в структурных подразделениях Департамента, осуществляющих обработку персональных данных.

Контроль за хранением и использованием материальных носителей персональных данных, не допускающим несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Департамента, осуществляющих обработку персональных данных.

7. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

Структурными подразделениями Департамента, осуществляющими обработку персональных данных, проводятся систематический контроль и выделение документов на бумажных и/или электронных носителях, содержащих персональные данные с истекшими сроками хранения или подлежащих уничтожению при наступлении иных законных оснований.

Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии, уполномоченной начальником Департамента.

По итогам заседания комиссии составляются акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность. Акт подписывается председателем и членами комиссии и утверждается начальником Департамента или его заместителем.

Документы на бумажных носителях, выделенные к уничтожению согласно акту, уничтожаются способом, не позволяющим произвести считывание или восстановление персональных данных (измельчение, сжигание, химическое уничтожение). Уничтожение персональных данных, содержащихся на электронных носителях, выделенных к уничтожению согласно акту, производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

По окончании процедуры уничтожения комиссией составляется соответствующий акт об уничтожении документов, содержащих персональные данные. Акт подписывается председателем и членами комиссии и утверждается начальником Департамента или его заместителем.

8. Обязанности уполномоченных лиц на получение, обработку, хранение, передачу и любое другое использование персональных данных при обработке персональных данных

Лицо, ответственное за организацию обработки персональных данных в Департаменте (далее - ответственный за организацию обработки персональных данных), назначается приказом Департамента.

Ответственный за организацию обработки персональных данных обязан:

знать и выполнять требования законодательства в области обработки и обеспечения защиты персональных данных, настоящих Правил;

осуществлять внутренний контроль соблюдения законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

участвовать в процессе разработки комплекса мер, направленных на устранение нарушений в сфере персональных данных;

доводить до сведения гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы в Департаменте, положения законодательства Российской Федерации о персональных данных, локальных нормативных актов по вопросам обработки персональных данных, требований к защите персональных данных;

осуществлять взаимодействие с уполномоченным органом по защите прав субъектов персональных данных по вопросам обработки и защиты персональных данных.

Должностные лица Департамента, получившие доступ к персональным данным, обязаны:

знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил;

хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

соблюдать Правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.

При обработке персональных данных уполномоченным лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных, если иное не указано в согласии субъекта персональных данных или установлено законодательством Российской Федерации, запрещается:

использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

передавать персональные данные по незащищенным каналам связи без использования сертифицированных средств криптографической защиты информации;

снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные;

выполнять за пределами служебного помещения работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.

9. Права и обязанности субъекта персональных данных

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных;

правовые основания и цели обработки персональных данных;

цели и применяемые оператором способы обработки персональных данных;

наименование и место нахождения Департамента, сведения о лицах (за исключением работников Департамента), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании законодательства;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Департамента, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

Субъект персональных данных вправе требовать от Департамента уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Сведения, указанные в пункте 9.1 раздела 9 настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Если субъект персональных данных считает, что Департамент осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Департамента в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных обязан:

передавать в Департамент достоверные, документированные персональные данные, состав которых установлен законодательством;

своевременно сообщать уполномоченным лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных в Департаменте об изменении своих персональных данных.

10. Ответственность лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных

Лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, виновные в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.

Текущий контроль за соблюдением требований законодательства при обработке персональных данных осуществляется в Департаменте путем проведения внутреннего контроля в виде проверок по соблюдению и исполнению законодательства о персональных данных.

11. Меры, принимаемые для защиты персональных данных

Департамент для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает следующие меры:

определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

учет машинных носителей персональных данных;

обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

восстановление персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.