Приложение N 1. Правила обработки персональных данных в управлении ветеринарии Воронежской области. Приказ Управления ветеринарии Воронежской области от 24.08.2020 N 190 "Об утверждении документов, определяющих политику в отношении обработки персональных данных в управлении ветеринарии Воронежской области" (с изменениями и дополнениями)

Приложение N 1
к приказу
управления ветеринарии
Воронежской области
от 24.08.2020 N 190

Правила
обработки персональных данных в управлении ветеринарии Воронежской области

1. Общие положения

1.1. Правила обработки персональных данных в управлении ветеринарии Воронежской области (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют политику управления ветеринарии Воронежской области (далее - Управление) как оператора, осуществляющего обработку персональных данных, и для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Обработка персональных данных в Управлении выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в Управлении.

Обезличивание персональных данных в Управлении не осуществляется.

В Управлении для автоматизированной обработки персональных данных применяются информационные системы персональных данных других операторов. Управление не является оператором информационных систем персональных данных.

1.3. Обработка персональных данных в Управлении осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.

1.4. В Управлении к работе с персональными данными допускаются лица, замещающие государственные должности Воронежской области в Управлении, должности государственной гражданской службы Воронежской области в Управлении, и лица, замещающие должности, не являющиеся должностями государственной гражданской службы Воронежской области, в должностные обязанности которых входит обработка персональных данных либо осуществление доступа к персональным данным.

Приказом Управления утверждается перечень должностей служащих Управления, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (далее - Перечень должностей).

Служащие Управления, замещающие должности, включенные в Перечень должностей, уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Управлении. Обработка персональных данных либо доступ к персональным данным за исключением общедоступных персональных данных служащими Управления, не уполномоченными на совершение таких действий с персональными данными в порядке, предусмотренном настоящими Правилами, в Управлении запрещены.

Отделом правового и организационного обеспечения управления ветеринарии Воронежской области осуществляется ведение перечня лиц, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Управлении.

Ответственность за наличие у руководителя Управления и начальников отделов Управления полномочий осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Управлении несет лицо, ответственное за организацию обработки персональных данных в Управлении. Ответственность за наличие у остальных служащих Управления полномочий осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Управлении несут начальники отделов Управления, в которых служащие Управления замещают соответствующие должности.

Служащие управления ветеринарии Воронежской области, уполномоченные осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Управлении, могут осуществлять обработку персональных данных как неавтоматизированным, так и автоматизированным способами.

1.5. Действие настоящих Правил не распространяется на отношения, возникающие при:

- организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с Федеральным законом от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации";

- обработке персональных данных, отнесенных в порядке, установленном Законом Российской Федерации от 21.07.1993 N 5485-1 "О государственной тайне", к сведениям, составляющим государственную тайну.

2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Управлении используются следующие процедуры:

2.1. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2.2. Ознакомление служащих Управления, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Управлении, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), приказами Управления по вопросам обработки персональных данных.

Перед началом обработки персональных данных служащие Управления, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Управлении, подписывают обязательство служащего Управления, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (далее - обязательство прекратить обработку персональных данных), и предоставляют его в отдел правового и организационного обеспечения Управления.

Обработка персональных данных за исключением общедоступных персональных данных служащими Управления до момента подписания обязательства прекратить обработку персональных данных запрещается.

Подписание руководителем Управления и начальниками отделов Управления обязательства прекратить обработку персональных данных, предусмотренного настоящими Правилами, обеспечивает отдел правового и организационного обеспечения Управления. Обеспечение подписания остальными служащими Управления обязательства прекратить обработку персональных данных осуществляют начальники отделов Управления, в которых служащие Управления замещают соответствующие должности.

2.3. Ограничение обработки персональных данных достижением цели обработки.

2.4. Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки.

2.5. Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в сфере персональных данных.

2.6. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.7. Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях - актуальности по отношению к целям обработки персональных данных.

2.8. Соблюдение условий при хранении носителей персональных данных, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним, посредством принятия мер обеспечения безопасности, включающих:

2.8.1. Хранение бумажных и машинных носителей информации (магнитные и оптические диски, флеш-накопители, накопители на жестких магнитных дисках, твердотельные накопители и другие), содержащих персональные данные (далее - машинные носители персональных данных), только в помещениях, включенных в перечень помещений, в которых осуществляется обработка, в том числе хранение, персональных данных (носителей персональных данных) в Управлении, утвержденный приказом Управления, в условиях, исключающих возможность доступа посторонних лиц к персональным данным, в закрываемых сейфах или шкафах (ящиках).

2.8.2. Резервное копирование персональных данных, содержащихся в информационных системах персональных данных, применяемых в Управлении, на резервные машинные носители персональных данных, которое осуществляется операторами соответствующих информационных систем персональных данных.

2.8.3. Раздельное хранение персональных данных, обработка которых осуществляется в различных целях, определенных настоящими Правилами, на разных материальных носителях, которое обеспечивается отделами Управления, осуществляющими обработку персональных данных неавтоматизированным способом (без использования средств вычислительной техники).

2.8.4. Уничтожение персональных данных на машинных носителях персональных данных в случае их передачи (в том числе в составе технических средств) для их дальнейшей эксплуатации в другие отделы Управления или иные организации, а также при передаче таких машинных носителей персональных данных (в том числе в составе технических средств) на ремонт в сторонние организации, не имеющие права доступа к персональным данным, содержащимся на соответствующих машинных носителях персональных данных, или при выводе из эксплуатации (списании) указанных машинных носителей персональных данных (в том числе в составе технических средств), которое осуществляется отделом правового и организационного обеспечения Управления.

2.9. Принятие мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, применяемых в Управлении, операторами этих информационных систем во взаимодействии с отделом правового и организационного обеспечения Управления.

3. Цели обработки персональных данных

3.1. В Управлении обработка персональных данных осуществляется в следующих целях:

3.1.1. Реализация кадровой политики в Управлении, в подведомственных бюджетных учреждениях в пределах установленной компетенции.

3.1.2. Реализация полномочий руководителя Управления по награждению Почетной грамотой Управления, внесению предложений о награждении наградами Воронежской области, ведомственными и государственными наградами Российской Федерации.

3.1.3. Реализация задач в Управлении и подведомственных ему бюджетных учреждениях по профилактике коррупционных и иных правонарушений.

3.1.4. Ведение воинского учета и бронирования граждан Российской Федерации, пребывающих в запасе Вооруженных Сил Российской Федерации и работающих в Управлении.

3.1.5. Обеспечение рассмотрения обращений граждан, поступивших в Управление, в том числе организация личного приема граждан.

3.1.6. Осуществление государственных и иных функций, предоставление государственных услуг Управлением.

4. Содержание обрабатываемых персональных данных

4.1. Служащими Управления, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Управлении, допускается обработка персональных данных всех категорий, которые обрабатываются в Управлении.

4.2. Содержание обрабатываемых персональных данных для каждой цели обработки персональных данных определено Перечнями персональных данных, обрабатываемых в управлении ветеринарии Воронежской области в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных и иных функций.

5. Категории субъектов персональных данных

5.1. В Управлении обрабатываются персональные данные следующих субъектов персональных данных:

5.1.1. Лиц, замещающих или ранее замещавших государственные должности Воронежской области, должности государственной гражданской службы Воронежской области и иные должности в Управлении.

5.1.2. Лиц, замещающих или ранее замещавших должности руководителей подведомственных Управлению бюджетных учреждений Воронежской области.

5.1.3. Лиц, претендующих на замещение вакантных должностей государственной гражданской службы Воронежской области и иных вакантных должностей в Управлении, не являющихся должностями государственной гражданской службы Воронежской области в Управлении, вакантных должностей руководителей подведомственных Управлению бюджетных учреждений Воронежской области.

5.1.4. Близких родственников (отец, мать, братья, сестры и дети) лиц, замещающих или ранее замещавших должности государственной гражданской службы Воронежской области и иные должности в Управлении, должности руководителей подведомственных Управлению бюджетных учреждений Воронежской области, а также лиц, претендующих на замещение вакантных должностей государственной гражданской службы Воронежской области, и иных вакантных должностей в Управлении, вакантных должностей руководителей подведомственных Управлению бюджетных учреждений Воронежской области.

5.1.5. Физических лиц в рамках рассмотрения обращений граждан.

5.1.6. Физических лиц, обработка персональных данных которых производится в целях, установленных настоящими Правилами.

5.2. Категории субъектов персональных данных для каждой цели обработки персональных данных определяются Перечнями персональных данных, обрабатываемых в управлении ветеринарии Воронежской области в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных и иных функций.

5.3. В случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", получение согласий субъектов персональных данных на обработку их персональных данных Управлением обеспечивается отделами Управления, которые осуществляют сбор персональных данных у субъектов персональных данных.

Согласия субъектов персональных данных на обработку их персональных данных Управлением, полученные в письменной форме, хранятся в отделах Управления, которыми осуществляется сбор персональных данных, в течение 3 лет с даты прекращения обработки персональных данных соответствующих субъектов персональных данных.

Ответственность за наличие согласия субъектов персональных данных на обработку их персональных данных Управлением несут начальники отделов Управления, которыми осуществляется сбор персональных данных.

6. Сроки обработки и хранения персональных данных

6.1. Сроки обработки и хранения персональных данных в Управлении определяются правовыми актами, регламентирующими порядок их сбора и обработки.

В случае если правовыми актами конкретный срок обработки и хранения персональных данных не установлен, то их обработка осуществляется до достижения цели обработки персональных данных или утраты необходимости в достижении цели обработки персональных данных.

6.2. Срок хранения персональных данных в электронном виде должен соответствовать сроку хранения персональных данных на бумажных носителях, если иное не установлено законодательством Российской Федерации.

6.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Управлением, обработка соответствующих персональных данных в Управлении должна быть прекращена, если Управление не вправе осуществлять обработку таких персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.

7. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

7.1. Уничтожению подлежат обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

Срок уничтожения персональных данных не должен превышать тридцати дней с даты достижения цели обработки персональных данных (утраты необходимости в достижении цели обработки персональных данных), если иное не предусмотрено законодательством Российской Федерации.

7.2. Отделами Управления осуществляется контроль и отбор по истечении срока хранения, установленного законодательством Российской Федерации, обрабатываемых персональных данных, содержащихся на бумажных и машинных носителях персональных данных, в том числе в информационных системах персональных данных, подлежащих уничтожению.

Уничтожение персональных данных, срок хранения которых истек, производится служащими Управления, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Управлении, а также оператором информационной системы персональных данных (в случае внесения персональных данных в информационную систему) по решению начальника соответствующего отдела Управления.

7.3. В случае отсутствия возможности уничтожения персональных данных отделы Управления осуществляют блокирование таких персональных данных и уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.

7.4. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

7.5. В Управлении уничтожение бумажных носителей персональных данных осуществляется с использованием уничтожителей бумаги.

Уничтожение персональных данных на машинных носителях персональных данных осуществляется с использованием средств гарантированного удаления информации или путем физического разрушения машинного носителя персональных данных, исключающего дальнейшее восстановление информации.

Уничтожение персональных данных, внесенных в информационные системы персональных данных, применяемые в Управлении, осуществляется оператором соответствующей информационной системы по заявкам, поступившим от отделов Управления.

7.6. В целях реализации меры, предусмотренной подпунктом 2.8.4 настоящих Правил, отделы Управления направляют письменную заявку в отдел правового и организационного обеспечения Управления на уничтожение персональных данных на машинном носителе персональных данных (физическое разрушение машинного носителя персональных данных).

В срок, не превышающий 10 рабочих дней с даты поступления заявки, отделом правового и организационного обеспечения Управления направляется заявителю уведомление в письменной форме, содержащее результаты уничтожения персональных данных на машинном носителе персональных данных (физического разрушения машинного носителя персональных данных), к которому прилагается соответствующий машинный носитель персональных данных (в случае если машинный носитель персональных данных не подвергался физическому разрушению).