Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение 1
к приказу департамента
финансово-бюджетного
надзора Краснодарского края
от 24.11.2020 N 145
Правила
обработки персональных данных в департаменте финансово-бюджетного надзора Краснодарского края
1. Общие положения
1.1. Настоящие Правила обработки персональных данных в департаменте финансово-бюджетного надзора Краснодарского края (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.2. Настоящие Правила разработаны в соответствии с:
Конституцией Российской Федерации;
Трудовым кодексом Российской Федерации;
Федеральным законом Российской Федерации от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (далее - Федеральный закон "О государственной гражданской службе Российской Федерации");
Федеральным законом Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных");
Федеральным законом Российской Федерации от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации");
Федеральным законом Российской Федерации от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции" (далее - Федеральный закон "О противодействии коррупции");
Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных гражданского государственного служащего Российской Федерации и ведении его личного дела" (далее - Указ N 609);
постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Постановление Правительства Российской Федерации N 687);
постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (далее - Постановление Правительства Российской Федерации N 211);
постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление Правительства Российской Федерации N 1119);
законом Краснодарского края от 31 мая 2005 г. N 870-КЗ "О государственной гражданской службе Краснодарского края".
2. Термины и определения
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных).
2.2. Специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
2.3. Биометрические персональные данные - персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (за исключением сведений, относящихся к специальным категориям персональных данных).
2.4. Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
2.5. Иные персональные данные - любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных), за исключением персональных данных, относящихся к специальным, биометрическим или общедоступным персональным данным.
2.6. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.7. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.8. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2.9. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
2.10. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
2.11. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.12. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.13. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных в департаменте финансово-бюджетного надзора Краснодарского края (далее - департамент) осуществляется в соответствии с настоящими Правилами, а также требованиями, установленными законодательством Российской Федерации с учётом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
обработка персональных данных осуществляется департаментом в связи с осуществлением функций, возложенных на него, а также реализацией служебных или трудовых отношений;
обработка персональных данных в департаменте осуществляется лицом (лицами), уполномоченным (и) приказом департамента на обработку персональных данных и несущим(и) ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных (далее - лицо, уполномоченное на обработку персональных данных);
обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей;
не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки;
не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
принимаются необходимые меры, либо обеспечивается их принятие по удалению или уточнению неполных, или неточных персональных данных;
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных;
если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, обрабатываемые персональные данные уничтожаются, либо обезличиваются по достижении целей обработки или, в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Лицо, уполномоченное на обработку персональных данных, обязано:
знать и выполнять требования законодательства в области персональных данных;
хранить в тайне известные ему персональные данные, информировать лицо, ответственное за организацию обработки персональных данных в Департаменте, о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;
соблюдать требования настоящих Правил, порядок учета и хранения персональных данных, исключать доступ к ним посторонних лиц;
обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей;
прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей в случае расторжения с ним служебного контракта.
3.3. Лицу, уполномоченному на обработку персональных данных, запрещается:
использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;
передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных ФСБ России средств криптографической защиты информации;
выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, за пределы места (помещения) их хранения;
нарушать режим защиты персональных данных.
3.4. Обработка персональных данных в департаменте осуществляется как с использованием средств автоматизации (в информационных системах), так и без использования таких средств и включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление и изменение, связанные с необходимостью их актуализации), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется лицом, уполномоченным на обработку персональных данных, путем:
получения оригиналов необходимых документов;
копирования оригиналов документов;
внесения сведений в учетные формы (на материальных и электронных носителях);
внесения персональных данных в установленном порядке в информационные системы, используемые в департаменте.
3.6. Трансграничная передача персональных данных в департаменте не осуществляется.
3.7. Принятие решений, порождающих юридические последствия в отношении субъектов персональных данных или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных, не осуществляется.
3.8. Перечень информационных систем, в которых осуществляется обработка персональных данных, представлен в приложении 1.
3.9. Субъектами персональных данных, чьи персональные данные обрабатываются в департаменте являются:
государственные гражданские служащие департамента;
граждане, претендующие на замещение вакантных должностей государственной гражданской службы;
граждане, обратившиеся в департамент в порядке, предусмотренном Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации":
граждане, заключающие государственные контракты.
4. Условия и порядок обработки персональных данных государственных гражданских служащих и граждан, претендующих на замещение вакантных должностей государственной гражданской службы в департаменте
4.1. Персональные данные: лиц, замещающих в департаменте должности государственной гражданской службы Краснодарского края (далее - гражданские служащие); лиц, претендующих на замещение в департаменте должностей государственной гражданской службы Краснодарского края; лиц, состоящих в кадровом резерве департамента, обрабатываются в соответствии с Указом Президента РФ от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"
5. Условия и порядок обработки персональных данных граждан, обратившихся в Департамент в порядке, предусмотренном Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации"
5.1. Обработка персональных данных граждан, обратившихся в департамент в порядке, предусмотренном Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации", осуществляется в целях рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции департамента, с последующим уведомлением граждан о результатах рассмотрения, и в порядке, установленном Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".
5.2. В соответствии с законодательством Российской Федерации в департаменте подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан, лиц без гражданства, а также обращения организаций.
5.3. В соответствии со статьями 7 и 13 Федерального закона "О порядке рассмотрения обращений граждан Российской Федерации" при рассмотрении обращений граждан Российской Федерации, иностранных граждан, лиц без гражданства подлежат обработке их следующие персональные данные:
фамилия, имя, отчество (последнее при наличии);
почтовый адрес;
адрес электронной почты;
указанный в обращении контактный телефон;
иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема граждан или в процессе рассмотрения обращения.
5.4. Обработка персональных данных, необходимых в связи с рассмотрением обращений граждан, в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных" и Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации", осуществляется без согласия субъектов персональных данных.
5.5. Обработка вышеуказанных персональных данных граждан, осуществляется должностными лицами департамента путём:
получения обращения в электронном и письменном виде;
получения оригиналов необходимых документов;
предоставления заверенных в установленном порядке копий документов;
получения необходимых для рассмотрения обращения документов и материалов в органах государственной власти, органах местного самоуправления, у иных должностных лиц, за исключением судов, органов дознания и органов предварительного следствия;
внесения сведений в учётные формы (на бумажных и электронных носителях);
внесения персональных данных в информационные системы Департамента.
5.6. Использование персональных данных заявителей осуществляется Департаментом в случаях и в порядке, предусмотренных Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".
5.7. Передача (предоставление) персональных данных заявителей осуществляется департаменте в случаях и в порядке, предусмотренных частью 3 статьи 8 Федерального закона "О порядке рассмотрения обращений граждан Российской Федерации".
6. Процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в сфере защиты персональных данных
6.1. Процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в сфере защиты персональных данных, включают в себя выполнение обязанностей и реализацию комплекса мер по обеспечению безопасности персональных данных департамента, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами и включают в себя:
назначение лица, ответственного за обработку персональных данных в Департаменте;
сбор согласий (в соответствии с установленной типовой формой) на обработку персональных данных, в случаях, установленных действующим законодательством Российской Федерации и настоящими Правилами;
оценку вреда, который может быть причинён субъектам персональных данных департамента;
обезличивание, уточнение и уничтожение персональных данных, в случаях, когда это необходимо;
определение правил рассмотрения запросов субъектов персональных данных или их представителей;
определение правил работы с обезличенными данными в случае обезличивания персональных данных;
определение порядка доступа в помещения, департамента, в которых ведётся обработка персональных данных;
осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента;
определение угроз безопасности персональных данных, при их обработке в информационных системах департамента;
определение уровня защищённости персональных данных, обрабатываемых в информационных системах департамента;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
исключение несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
учёт машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационных системах Департамента;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
7. Полномочия лица, ответственного за организацию обработки персональных данных в департаменте
7.1. Ответственный за организацию обработки персональных данных в департаменте, назначается приказом руководителя департамента.
7.2. Ответственный за организацию обработки персональных данных в департаменте, обязан:
организовывать принятие мер, необходимых для обеспечения защиты в департаменте обрабатываемых персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
осуществлять внутренний контроль, за соблюдением в департаменте требований законодательства в области персональных данных, в том числе требований к защите персональных данных;
обеспечить доведение до сведения лиц, непосредственно связанных с реализацией настоящих Правил, положений законодательства в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
организовать прием и обработку обращений (запросов) субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений (запросов);
в случае нарушения в департаменте требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
7.3. Лицо, ответственное за организацию обработки персональных данных в департаменте, вправе:
В установленном порядке привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в департаменте, в том числе для проведения внутренних проверок, государственных гражданских служащих с возложением на них соответствующих обязанностей и закреплением ответственности;
Иметь доступ к информации, касающейся обработки персональных данных в Департаменте и включающей:
цели обработки персональных данных;
категории обрабатываемых персональных данных;
категории субъектов, персональные данные которых обрабатываются;
правовые основания обработки персональных данных;
перечень действий с персональными данными, общее описание используемых в департаменте способов обработки персональных данных;
описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
дату начала обработки персональных данных;
срок или условия прекращения обработки персональных данных;
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
Лица, виновные в нарушении положений законодательства в области персональных данных, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и (или) уголовной ответственности в порядке, установленном федеральными законами.
Главный консультант |
Л.В. Голиков |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.