По датам
Полезное
Выборки
Приказ комитета строительства Волгоградской обл. от 17.04.2023 N 810-ОД "О реализации постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" в комитете строительства Волгоградской области"
КОМИТЕТ СТРОИТЕЛЬСТВА
ВОЛГОГРАДСКОЙ ОБЛАСТИ
ПРИКАЗ
от 17 апреля 2023 г. в„– 810-ОД
О РЕАЛИЗАЦИИ ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА
РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 21 МАРТА 2012 Г. в„– 211
"ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ МЕР, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ
ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ, ПРЕДУСМОТРЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ
"О ПЕРСОНАЛЬНЫХ ДАННЫХ" И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ
НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ, ОПЕРАТОРАМИ, ЯВЛЯЮЩИМИСЯ
ГОСУДАРСТВЕННЫМИ ИЛИ МУНИЦИПАЛЬНЫМИ ОРГАНАМИ" В КОМИТЕТЕ
СТРОИТЕЛЬСТВА ВОЛГОГРАДСКОЙ ОБЛАСТИ
В соответствии с Федеральным законом от 27 июля 2006 в„– 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 в„– 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Губернатора Волгоградской области от 24 ноября 2014 в„– 170 "Об утверждении Положения о комитете строительства Волгоградской области" приказываю:
1. Утвердить прилагаемые:
Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в комитете строительства Волгоградской области согласно приложению в„– 1 к настоящему приказу;
Правила рассмотрения запросов субъектов персональных данных или их представителей в комитете строительства Волгоградской области согласно приложению в„– 2 к настоящему приказу;
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора в комитете строительства Волгоградской области согласно приложению в„– 3 к настоящему приказу;
Правила работы с обезличенными данными в случае обезличивания персональных данных в комитете строительства Волгоградской области согласно приложению в„– 4 к настоящему приказу;
Перечень информационных систем персональных данных в комитете строительства Волгоградской области согласно приложению в„– 5 к настоящему приказу;
Перечни персональных данных, обрабатываемых в комитете строительства Волгоградской области в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций, согласно приложению в„– 6 к настоящему приказу;
Перечень должностей служащих комитета строительства Волгоградской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, согласно приложению в„– 7 к настоящему приказу;
Перечень должностей служащих комитета строительства Волгоградской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, согласно приложению в„– 8 к настоящему приказу;
Должностную инструкцию ответственного за организацию обработки персональных данных в комитете строительства Волгоградской области согласно приложению в„– 9 к настоящему приказу;
Типовое обязательство служащего комитета строительства Волгоградской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, согласно приложению в„– 10 к настоящему приказу;
Типовую форму согласия на обработку персональных данных служащих комитета строительства Волгоградской области, иных субъектов персональных данных согласно приложению в„– 11 к настоящему приказу;
Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению в„– 12 к настоящему приказу;
Порядок доступа служащих комитета строительства Волгоградской области в помещения, в которых ведется обработка персональных данных, согласно приложению в„– 13 к настоящему приказу;
Политику обработки персональных данных и реализацию требований к их защите в комитете строительства Волгоградской области согласно приложению в„– 14 к настоящему приказу.
2. Признать утратившими силу приказы комитета строительства Волгоградской области:
от 02 ноября 2020 в„– 565-ОД "О реализации постановления Правительства Российской Федерации от 21 марта 2012 г. в„– 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативно-правовыми актами, операторами являющимися государственным или муниципальными органами";
от 03 июня 2021 в„– 283-ОД "О внесении изменений в приказ комитета строительства Волгоградской области от 02 ноября 2020 в„– 565-ОД "О реализации постановления Правительства Российской Федерации от 21 марта 2012 г. в„– 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативно-правовыми актами, операторами являющимися государственным или муниципальными органами".
3. Контроль за исполнением настоящего приказа оставляю за собой.
4. Настоящий приказ вступает в силу через 10 дней после его официального опубликования.
Председатель комитета
О.А.БЕГУНКОВА
Приложение 1
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНАВЛИВАЮЩИЕ ПРОЦЕДУРЫ,
НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ НАРУШЕНИЙ
ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, А ТАКЖЕ ОПРЕДЕЛЯЮЩИЕ ДЛЯ КАЖДОЙ ЦЕЛИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ СОДЕРЖАНИЕ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ
ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ
ОБРАБАТЫВАЮТСЯ, СРОКИ ИХ ОБРАБОТКИ И ХРАНЕНИЯ, ПОРЯДОК
УНИЧТОЖЕНИЯ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ
ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ В КОМИТЕТЕ
СТРОИТЕЛЬСТВА ВОЛГОГРАДСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Настоящие правила обработки персональных данных (далее - Правила) разработаны во исполнение требований Трудового кодекса Российской Федерации, федеральных законов от 27 июля 2004 г. в„– 79-ФЗ "О государственной гражданской службе Российской Федерации", от 27 июля 2006 г. в„– 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), Указа Президента Российской Федерации от 30 мая 2005 г. в„– 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлений Правительства Российской Федерации от 21 марта 2012 г. в„– 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 01 ноября 2012 г. в„– 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 15 сентября 2008 г. в„– 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
1.2. Правила определяют содержание обрабатываемых персональных данных, цели обработки персональных данных, категории субъектов, персональные данные которых обрабатываются в комитете строительства Волгоградской области (далее - комитет), условия, порядок, сроки их обработки, передачи (предоставление, доступ), порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований, а также меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации о персональных данных.1.2. В Правилах используются основные понятия, определенные в статье 3 Закона о персональных данных.
2. Цели и принципы обработки персональных данных
2.1. Обработка персональных данных в комитете должна осуществляться с соблюдением следующих принципов:
1) обработка персональных данных должна осуществляться на законной и справедливой основе;
2) обработка персональных данных должна ограничиваться достижением конкретных, определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
4) обработке подлежат только персональные данные, которые отвечают целям их обработки;
5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
6) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица комитета должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
7) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством, законодательством Волгоградской области. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
2.2. В комитете подлежат обработке только персональные данные, отвечающие следующим целям:
1) обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации и Волгоградской области; содействие государственному гражданскому служащему в прохождении государственной гражданской службы Волгоградской области, в обучении и должностном росте, обеспечение личной безопасности государственного гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества комитета, учета результатов исполнения им должностных обязанностей; формирование кадрового резерва государственной гражданской службы Волгоградской области; реализация трудовых отношений;
2) исполнение полномочий комитета по предоставлению государственных услуг, предусмотренных Федеральным законом от 27 июля 2010 г. в„– 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
3) статистические или иные исследовательские цели, за исключением целей, указанных в статье 15 Закона о персональных данных, при условии обязательного обезличивания персональных данных;
3. Содержание обрабатываемых персональных данных
3.1. Обработка персональных данных в комитете осуществляется в целях:
- ведения бухгалтерского учета;
- ведения кадрового учета;
- проведения конкурсов на замещение вакантных должностей; обеспечение кадрового резерва;
- содействия сотрудникам в трудоустройстве;
- профессиональная подготовки сотрудников комитета, их переподготовка, повышение квалификации и стажировка;
- оказания государственных услуг;
- рассмотрение обращений граждан.
В иных случаях обработка персональных данных осуществляется комитетом в соответствии с требованиями федеральных законов Российской Федерации.
3.2. Перечни персональных данных, обрабатываемых в комитете, приведены в приложении 6 к настоящему приказу.
3.3. Информация о персональных данных может содержаться:
на бумажных носителях;
на электронных носителях;
в информационных системах персональных данных комитета;
на официальном портале Губернатора и Администрации Волгоградской области и других интернет-ресурсах, на которых комитет имеет полномочия размещать информацию.
3.4. Персональные данные в комитете обрабатываются как без использования средств автоматизации, так и с применением средств вычислительной техники.
4. Категории субъектов, персональные данные которых
обрабатываются в комитете строительства Волгоградской
области
4.1. Категории субъектов, персональные данные которых обрабатываются в комитете, определяются целями обработки персональных данных.
4.2. К категориям субъектов, персональные данные которых обрабатываются в комитете, относятся:
1) государственные гражданские служащие комитета;
2) работники, занимающие должности, не отнесенные к должностям государственной гражданской службы Волгоградской области, и осуществляющие техническое обеспечение деятельности комитета;
3) руководители подведомственных комитету учреждений;
4) кандидаты на замещение вакантных должностей и на включение в кадровый резерв комитета;
5) граждане, обратившиеся в комитет за предоставлением государственных услуг, а также в связи с рассмотрением обращений, жалоб и заявлений.
5. Организация обработки, сроки обработки и хранения
персональных данных
5.1. Обработка персональных данных в комитете включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов осуществляются путем получения персональных данных непосредственно от субъектов персональных данных.
5.3. В случае необходимости предоставления персональных данных, предусмотренных действующим законодательством, субъектам персональных данных разъясняются юридические последствия отказа в предоставлении своих персональных данных.
В случае отказа субъекта персональных данных предоставить свои персональные данные разъяснения юридических последствий такого отказа оформляются в письменном виде согласно приложению 12 к настоящему приказу.
5.4. Запрещается обрабатывать и приобщать к личному делу гражданского служащего не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах.
5.5. Передача (предоставление, доступ) персональных данных субъектов третьим лицам должна осуществляться с согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.
5.6. Документы, содержащие персональные данные, обрабатываются в сроки, обусловленные заявленными целями их обработки.
5.7. Использование персональных данных осуществляется с момента их получения комитетом и прекращается:
1) по достижении целей обработки персональных данных;
2) в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.
5.8. Комитет вправе поручить обработку персональных данных лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия соответствующего акта.
5.9. Обработка персональных данных с использованием средств автоматизации допускается только в информационных системах персональных данных комитета (далее именуются - ИСПДн), аттестованных по требованиям защиты информации, согласно действующим нормативным методическим документам Федеральной службы по техническому и экспортному контролю (далее именуется - ФСТЭК России).
5.10. Для обеспечения защиты информации, содержащейся в ИСПДн, проводятся следующие мероприятия:
формирование требований к защите информации, содержащейся в ИСПДн;
разработка системы защиты информации в ИСПДн;
внедрение системы защиты информации в ИСПДн;
аттестация ИСПДн по требованиям защиты информации и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной ИСПДн;
обеспечение защиты информации при выводе из эксплуатации, аттестованной ИСПДн или после принятия решения об окончании обработки информации.
5.11. Формирование требований к защите информации, содержащейся в ИСПДн, включает:
принятие решения о необходимости защиты информации, содержащейся в ИСПДн;
классификацию ИСПДн по требованиям защиты информации;
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИСПДн, и разработку модели угроз безопасности информации;
определение требований к системе защиты информации в ИСПДн.
5.12. Требования к системе защиты информации определяются в зависимости от класса защищенности и угроз безопасности информации, включенных в модель угроз безопасности информации.
5.13. Классификация проводится в зависимости от значимости обрабатываемой в ИСПДн информации, масштаба системы (федерального, регионального, объектового), актуальных угроз безопасности персональных данных, категории обрабатываемых персональных данных.
Класс защищенности определяется для системы в целом и при необходимости для ее отдельных сегментов (составных частей).
Класс защищенности подлежит пересмотру при изменении масштаба систем или значимости обрабатываемой в них информации.
5.14. Ввод в эксплуатацию ИСПДн осуществляется на основании аттестата соответствия требованиям защиты информации и оформляется приказом комитета.
5.15. Для обеспечения защиты персональных данных в ходе эксплуатации ИСПДн из числа работников комитета, эксплуатирующих эти ИСПДн, назначаются ответственные за эксплуатацию ИСПДн; пользователи, имеющие право обрабатывать персональные данные в ИСПДн; администраторы информационной безопасности и системные администраторы ИСПДн, а также лица, их замещающие.
Вывод из эксплуатации ИСПДн осуществляется в соответствии с приказом комитета. При выводе из эксплуатации ИСПДн производится архивирование информации, содержащейся в ИСПДн, уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
5.16. Сроки хранения персональных данных устанавливаются на основании действующего законодательства в соответствии с номенклатурой дел комитета.
5.17. Контроль за хранением и использованием материальных носителей персональных данных, не допускающим несанкционированное использование, уточнение, уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений комитета, осуществляющих обработку персональных данных.
6. Требования к оценке вреда, который может быть причинен
субъектам персональных данных в случае нарушения Закона
о персональных данных, порядок уничтожения персональных
данных при достижении целей обработки или при наступлении
иных законных оснований
6.1. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой комитетом как оператором персональных данных в соответствии с приказом Роскомнадзора от 27 октября 2022 г. в„– 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
6.2 Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению в соответствии с приказом Роскомнадзора от 28 октября 2022 г. в„– 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".
7. Права и обязанности субъекта персональных данных
7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые комитетом способы обработки персональных данных;
4) наименование и место нахождения комитета, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с комитетом или на основании законодательства;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;
8) наименование или фамилию, имя, отчество лица, осуществляющего обработку персональных данных;
9) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;
10) иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
7.2. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Закона о персональных данных.
7.3. Субъект персональных данных вправе требовать от комитета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.4. Сведения, указанные в пункте 7.1 раздела 7 Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7.5. Если субъект персональных данных считает, что комитет осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие комитета в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
7.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.7. Субъект персональных данных обязан:
1) передавать комитету достоверные, документированные персональные данные, состав которых установлен законодательством;
2) своевременно сообщать уполномоченным лицам на обработку персональных данных в комитете об изменении своих персональных данных.
8. Обязанности уполномоченных лиц на обработку персональных
данных при обработке персональных данных
8.1. Приказом комитета определяется перечень лиц, уполномоченных на обработку персональных данных, обеспечивающих обработку персональных данных в соответствии с требованиями действующего законодательства и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение требований к защите персональных данных, предъявляемых законодательством.
8.2. Должностные лица комитета, получившие доступ к персональным данным, обязаны:
1) знать и выполнять требования законодательства Российской Федерации в области обеспечения защиты персональных данных и настоящих Правил;
2) хранить в тайне известные им персональные данные, информировать непосредственного руководителя о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;
3) соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;
4) обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.
8.3. Должностным лицам комитета, получившим доступ к персональным данным, запрещается:
1) использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;
2) передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта и т.д.) без использования сертифицированных средств криптографической защиты информации;
3) снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные, в целях, не относящихся к исполнению служебных обязанностей;
4) оставлять носители персональных данных в неустановленных местах хранения;
5) выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.
8.4. Должностные лица комитета дают обязательства в письменной форме не раскрывать третьим лицам и не распространять персональные данные, ставшие им известными в результате служебной деятельности, без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. При увольнении служащий комитета, занимавшийся обработкой персональных данных комитета заполняет обязательство о неразглашении информации, содержащей персональные данные, ставшие ему известными в ходе исполнения служебных обязанностей, согласно приложению 10 к настоящему приказу.
8.5. Лица, уполномоченные на обработку персональных данных, виновные в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.
9. Обязанности комитета по устранению нарушений
законодательства, допущенных при обработке персональных
данных, по уточнению, блокированию и уничтожению
персональных данных
9.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных комитет обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных комитет обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
9.2. В случае подтверждения факта неточности персональных данных комитет на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9.3. В случае выявления неправомерной обработки персональных данных, осуществляемой комитетом или лицом, действующим по поручению комитета, в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению комитета. В случае если обеспечить правомерность обработки персональных данных невозможно, комитет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
Об устранении допущенных нарушений или об уничтожении персональных данных комитет обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
9.4. В случае установления факта неправомерной или случайной передачи персональных данных, оператор обязан с момента выявления такого инцидента комитетом, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушения прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном комитетом на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам связанным с выявленным инцидентом;
2) в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента.
9.5. В случае достижения цели обработки персональных данных комитет обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
9.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных комитет обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
9.7. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 9.3 - 9.5 настоящего раздела, комитет осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10. Меры, направленные на выявление и предотвращение
нарушений законодательства Российской Федерации в сфере
обработки персональных данных
10.1. Приказом комитета из числа гражданских служащих комитета, относящихся к высшей или главной группе должностей категории "руководители", и лиц, замещающих государственную должность Волгоградской области, назначается лицо, ответственное за организацию обработки персональных данных в комитете (далее - ответственный за организацию обработки персональных данных).
10.2. Ответственный за организацию обработки персональных данных в комитете несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных в комитете в соответствии с положениями законодательства Российской Федерации в области персональных данных.
10.3. Ответственный за организацию обработки персональных данных в комитете обязан:
1) организовать принятие правовых, организационных и технических мер, в том числе с привлечением иных гражданских служащих комитета, направленных на обеспечение защиты персональных данных, обрабатываемых в комитете;
2) организовать осуществление внутреннего контроля за соблюдением гражданскими служащими комитета требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
3) организовывать осуществление разработки и представления на утверждение председателю комитета состава комиссии по соблюдению требований, предъявляемых к обработке персональных данных, и ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных;
4) организовать доведение до сведения гражданских служащих комитета положений законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
5) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в комитете;
6) в случае нарушения в комитете требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
В случае необходимости ответственный за организацию обработки персональных данных в комитете привлекает к выполнению вышеуказанных мероприятий уполномоченные структурные подразделения комитета.
10.4. Повседневный контроль соблюдения предусмотренных настоящим распоряжением организационных и технических мер по обеспечению безопасности персональных данных в структурных подразделениях комитета осуществляют руководители структурных подразделений комитета.
10.5. Текущий контроль за соблюдением требований законодательства при обработке персональных данных осуществляется комитетом путем проведения проверок по соблюдению и исполнению законодательства о персональных данных.
10.6. Проверки выполнения требований законодательства при обработке персональных данных проводятся в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Законом о персональных данных, принятыми в соответствии с ним нормативными правовыми актами и локальными актами комитета.
Приложение 2
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
1. Общие положения
Настоящие Правила рассмотрения запросов субъектов персональных данных в комитете строительства Волгоградской области (далее - Правила) регулируют порядок учета и рассмотрения запросов субъектов персональных данных или их представителей, поступивших в комитет строительства Волгоградской области (далее - комитет).
2. Права субъекта персональных данных на доступ к его
персональным данным
2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных в комитете;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые в комитете способы обработки персональных данных;
4) наименование и место нахождения комитета;
5) сведения о лицах (за исключением сотрудников комитета), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с комитетом или на основании федерального закона;
6) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
7) сроки обработки персональных данных, в том числе сроки их хранения;
8) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. в„– 152-ФЗ "О персональных данных";
9) наименование или фамилию, имя, отчество лица, осуществляющего обработку персональных данных по поручению комитета, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
2.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
2.3. Субъект персональных данных вправе требовать от комитета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.4. Сведения, указанные в пункте 2.1 настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Порядок обработки запросов субъектов персональных данных
3.1. Сведения, указанные в пункте 2.1 настоящих Правил, предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении запроса субъекта персональных данных или его представителя (далее - запрос).
3.2. Все поступившие запросы регистрируются в отделе организационного обеспечения и документооборота комитета в день их поступления. На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации. Запрос регистрируется в Журнале учета обращений субъектов персональных данных по вопросам обработки персональных данных в комитете строительства Волгоградской области, форма которого приведена в приложении к настоящим Правилам.
Запросы субъектов персональных данных не подлежат регистрации в автоматизированной системе электронного документооборота.
3.3. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с комитетом, либо сведения, иным образом подтверждающие факт обработки персональных данных в комитете.
3.4. Поступивший запрос проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской.
3.6. Комитет вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 3.4, 3.5 Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на комитете.
3.7. Прошедшие регистрацию запросы в тот же день направляются должностному лицу, ответственному за организацию обработки персональных данных в комитете, назначенному приказом комитета (далее - ответственный за организацию обработки персональных данных), который оформляет резолюцию с указанием исполнителей, содержанием действий и сроком рассмотрения запросов.
3.8. Должностные лица комитета, уполномоченные на обработку персональных данных, обеспечивают:
1) объективное, всестороннее и своевременное рассмотрение запроса;
2) принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
3) направление письменных ответов по существу запроса.
3.9. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.
4. Сроки обработки запросов субъектов персональных данных
или их представителей
4.1. В течение 10 рабочих дней с даты получения запроса субъекта персональных данных или его представителя комитет обязан сообщить субъекту или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными. Указанный срок может быть продлен, но не более чем на 5 рабочих дней с момента обращения или получения запроса.
4.2. В случае если сведения, указанные в пункте 2.1 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в комитет или направить повторный запрос в целях получения сведений, указанных в пункте 2.1 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом.
4.3. Субъект персональных данных вправе обратиться повторно в комитет или направить повторный запрос в целях получения сведений, указанных в пункте 2.1 Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 3.4 Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса.
4.4. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекта персональных данных или его представителю при их обращении либо при получении запроса комитет обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Закона о персональных данных или иного федерального закона, являющееся основанием для такого отказа, в срок не превышающий 10 рабочих дней со дня обращения субъекта персональных данных, его представителя либо с даты получения запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней с направлением мотивированного уведомления в адрес субъекта персональных данных с указанием причин, пропуска срока предоставления запрашиваемой информации.
5. Контроль над соблюдением порядка рассмотрения запросов
5.1. Ответственный за организацию обработки персональных данных осуществляет непосредственный контроль над соблюдением установленного законодательством и настоящими Правилами.
5.2. При осуществлении контроля обращается внимание на сроки исполнения поручений по запросам и полноту рассмотрения поставленных вопросов, объективность проверки фактов, изложенных в запросах, законность и обоснованность принятых по ним решений, своевременность их исполнения и направления ответов заявителям.
5.3. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц комитета ответственность в соответствии с законодательством Российской Федерации.
Приложение
к Правилам
рассмотрения запросов
субъектов персональных данных
в комитете строительства
Волгоградской области
ЖУРНАЛ
учета обращений субъектов персональных данных по вопросам обработки
персональных данных в комитете строительства Волгоградской области
в„– п/п
ФИО субъекта персональных данных или его законного представителя
Дата поступления запроса и входящий номер
Краткое содержание обращения
Резолюция (ФИО исполнителя)
Дата и подпись
Реквизиты ответа на запрос
Получено
Возвращено
1
2
3
4
5
6
7
8
Приложение 3
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ОПЕРАТОРА
1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. в„– 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), принятыми в соответствии с ним нормативными правовыми актами и локальными актами комитета строительства Волгоградской области (далее - Правила и комитет), определяют основания и порядок проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством (далее - внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных).
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. в„– 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. в„– 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 г. в„– 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
3. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных в комитете осуществляется в форме плановых и внеплановых проверок условий обработки персональных данных (далее - проверки).
4. Проверки осуществляются комиссией по соблюдению требований, предъявляемых к обработке персональных данных (далее - комиссия), состав которой утверждается приказом комитета.
В проведении проверки в комитете не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.
5. Плановые проверки проводятся на основании ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных, организация разработки которого обеспечивается ответственным за организацию обработки персональных данных и утверждаемого приказом комитета на основании предложений руководителей структурных подразделений.
Плановые проверки проводятся не реже одного раза в год.
6. Основанием для проведения внеплановой проверки является поступившее в комитет письменное заявление о нарушениях правил обработки персональных данных.
Проведение внеплановой проверки организуется ответственным за организацию обработки персональных данных в течение десяти рабочих дней с момента поступления в комитет соответствующего заявления.
7. Решение о начале проведения проверки оформляется приказом комитета.
8. При проведении проверок могут быть полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
9. Комиссия имеет право:
запрашивать у должностных лиц комитета информацию, необходимую для реализации полномочий;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить предложения о привлечении к ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
10. Срок проведения проверки не должен превышать 30 календарных дней со дня начала проверки.
11. При наличии оснований срок проведения проверки может быть продлен на 30 календарных дней председателем комитета.
12. По результатам проведения проверки оформляется акт, в котором отражаются обстоятельства, установленные в ходе проверки, и меры, необходимые для устранения выявленных нарушений. Акт проверки подписывается председателем и членами комиссии и направляется председателю комитета.
Приложение 4
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ В СЛУЧАЕ ОБЕЗЛИЧИВАНИЯ
ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ СТРОИТЕЛЬСТВА
ВОЛГОГРАДСКОЙ ОБЛАСТИ
1. Настоящие Правила работы с обезличенными данными в комитете строительства Волгоградской области (далее - Правила, комитет) разработаны в соответствии с Федеральным законом от 27 июля 2006 г. в„– 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), постановлением Правительства Российской Федерации от 15 сентября 2008 г. в„– 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 г. в„– 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных", приказом Роскомнадзора от 05 сентября 2013 г. в„– 996 "Об утверждении требований и методов по обезличиванию персональных данных" и определяют порядок работы с обезличенными персональными данными в комитете строительства Волгоградской области.
2. Правила определяют организацию работы с обезличенными данными в случае обезличивания персональных данных в комитете.
3. Обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, осуществляется в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных.
4. В соответствии со статьей 3 Закона о персональных данных под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
5. Обезличивание персональных данных осуществляется до достижения целей, предусмотренных Законом о персональных данных.
6. Проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных, осуществляется уполномоченными сотрудниками комитета.
7. Обработка обезличенных персональных данных может осуществляться с использованием средств автоматизации или без использования таких средств.
8. При обработке обезличенных персональных данных с использованием средств автоматизации должны соблюдаться требования информационной безопасности, в том числе установленные для информационных систем, в которых обрабатываются указанные данные, а также порядок доступа в помещения, в которых расположены информационные системы персональных данных, в целях исключения несанкционированного доступа к обезличенным персональным данным, возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении обезличенных персональных данных. Указанный порядок доступа обеспечивается в том числе:
запиранием помещения на ключ, в том числе при выходе из него в рабочее время;
закрытием металлических шкафов и сейфов, где хранятся носители информации, содержащие обезличенные персональные данные, во время отсутствия в помещении сотрудников комитета, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
9. При обработке обезличенных персональных данных без использования средств автоматизации должны быть обеспечены сохранность содержащих их материальных носителей и установленный порядок доступа в помещения, в которых они хранятся (пункт 7 настоящих Правил), в целях исключения несанкционированного доступа к обезличенным персональным данным, возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий в отношении обезличенных персональных данных.
10. Не допускается совместное хранение персональных данных и обезличенных данных.
Приложение 5
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИСПОЛЬЗУЕМЫХ
В КОМИТЕТЕ СТРОИТЕЛЬСТВА ВОЛГОГРАДСКОЙ ОБЛАСТИ
1. Автоматизированная система обработки конфиденциальной информации (АСОКИ).
2. Информационная система персональных данных "Кадры".
3. Информационная система учета выданных и оплаченных государственных жилищных сертификатов в рамках государственной программы Российской Федерации "Обеспечение доступным и комфортным жильем и коммунальными услугами граждан Российской Федерации" (ИС ГЖС).
4. Единая государственная информационная система социального обеспечения (ЕГИССО).
5. Коммутационная платформа сетевого справочного телефонного узла (ССТУ.РФ).
6. Государственная информационная система жилищно-коммунального хозяйства (ГИС ЖКХ).
7. Система межведомственного электронного взаимодействия Волгоградской области (СМЭВ).
8. Автоматизированная система электронного документооборота (АСЭД).
9. Государственная информационная система "Электронный бюджет".
10. Региональная система управления мероприятиями по обеспечению информационной безопасности Волгоградской области.
11. Платформа обратной связи (ПОС).
12. Федеральная государственная информационная система досудебного обжалования (ФГИС ДО).
Приложение 6
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ПЕРЕЧНИ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В КОМИТЕТЕ СТРОИТЕЛЬСТВА
ВОЛГОГРАДСКОЙ ОБЛАСТИ В СВЯЗИ С РЕАЛИЗАЦИЕЙ СЛУЖЕБНЫХ ИЛИ
ТРУДОВЫХ ОТНОШЕНИЙ, А ТАКЖЕ В СВЯЗИ С ОКАЗАНИЕМ
ГОСУДАРСТВЕННЫХ УСЛУГ И ОСУЩЕСТВЛЕНИЕМ ГОСУДАРСТВЕННЫХ
ФУНКЦИИ
Перечень персональных данных субъектов, обрабатываемых
в комитете строительства Волгоградской области в связи
с исполнением функций по ведению бухгалтерского учета:
1) фамилия, имя, отчество;
2) дата рождения;
3) реквизиты документа, удостоверяющего личность;
4) адрес места жительства (адрес регистрации, фактического проживания);
5) идентификационный номер налогоплательщика (ИНН);
6) страховой номер индивидуального лицевого счета документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;
7) сведения о детях;
8) сведения о заработной плате, компенсациях и иных выплатах;
8) номер контактного телефона.
Перечень персональных данных субъектов, обрабатываемых
в комитете строительства Волгоградской области в связи
с прохождением государственной гражданской службы
Волгоградской области, формированием кадрового резерва
Волгоградской области и реализацией трудовых отношений:
1) фамилия, имя, отчество;
2) биографические данные;
3) сведения о наличии изменений фамилии, имени или отчества (когда, где и по какой причине);
4) пол;
5) число, месяц, год рождения;
6) место рождения;
7) информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
8) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего документ, дата выдачи;
9) вид, серия, номер заграничного паспорта, наименование органа, выдавшего документ, дата выдачи (при наличии);
10) адрес места жительства (адрес регистрации, фактического проживания);
11) номер контактного телефона или сведения о других способах связи;
12) реквизиты документа, подтверждающего регистрацию в системе индивидуального персонифицированного учета;
13) идентификационный номер налогоплательщика (ИНН);
14) реквизиты страхового медицинского полиса обязательного медицинского страхования;
15) сведения из записей актов гражданского состояния;
16) семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
17) сведения о трудовой деятельности;
18) сведения о воинском учете и реквизиты документов воинского учета;
19) сведения об образовании, в том числе о послевузовском и дополнительном профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
20) сведения об ученой степени;
21) информация о владении иностранными языками, степень владения;
22) медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
23) фотография;
24) сведения о пребывании за границей;
25) информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
26) информация о наличии или отсутствии судимости;
27) информация об оформленных допусках к государственной тайне;
28) государственные награды, иные награды и знаки отличия;
29) сведения о профессиональной переподготовке и (или) повышении квалификации;
30) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
31) сведения о результатах аттестации;
32) материалы служебных проверок, расследований;
33) сведения о периодах нетрудоспособности;
34) информация о ежегодных оплачиваемых отпусках, учебных отпусках, отпусках без сохранения заработной платы;
35) сведения о заработной плате (ведомости начисления заработной платы, табель учета рабочего времени, штатное расписание);
36) сведения о соблюдении ограничений и запретов, установленных в связи с прохождением государственной гражданской службы;
37) социальные льготы, на которые работник имеет право;
38) реквизиты банковских счетов.
Перечень персональных данных, обрабатываемых в комитете
строительства Волгоградской области в связи с исполнением
полномочий по предоставлению государственных услуг:
1) фамилия, имя, отчество;
2) пол;
3) число, месяц, год рождения;
4) место рождения;
5) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего документ, дата выдачи;
6) адрес места жительства (адрес регистрации, фактического проживания);
7) номер контактного телефона или сведения о других способах связи;
8) семейное положение;
9) семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
10) сведения о воинской обязанности и военной службе;
11) реквизиты документа, подтверждающего регистрацию в системе индивидуального персонифицированного учета;
12) идентификационный номер налогоплательщика (ИНН);
13) информация о месте работы;
14) сведения об образовании, в том числе о послевузовском и дополнительном профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
15) занимаемая должность;
16) информация о наличии или отсутствии судимости;
17) фотография;
18) сведения об имуществе и земельных участках, принадлежащих субъекту персональных данных на каком-либо праве в соответствии с действующим законодательством;
20) категория, подкатегория;
21) дата постановки на учет граждан, нуждающихся в предоставлении жилых помещений;
22) дата принятия решения о назначении социальной выплаты и дата предоставления социальной выплаты;
23) сведения о размере предоставленной социальной выплаты.
Перечень персональных данных, обрабатываемых в комитете
строительства Волгоградской области в статистических или
иных исследовательских целях, за исключением целей,
указанных в статье 15 Федерального закона от 27 июля 2006
в„– 152-ФЗ "О персональных данных" при условии обязательного
обезличивания персональных данных
1) фамилия, имя, отчество;
2) пол;
3) число, месяц, год рождения;
4) место рождения;
5) информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
6) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего документ, дата выдачи;
7) адрес места жительства (адрес регистрации, фактического проживания);
8) номер контактного телефона или сведения о других способах связи;
9) реквизиты страхового медицинского полиса обязательного медицинского страхования;
10) реквизиты свидетельства государственной регистрации актов гражданского состояния;
11) семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
12) сведения о трудовой деятельности;
13) сведения о воинском учете и реквизиты документов воинского учета;
14) сведения об образовании, в том числе о послевузовском и дополнительном профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
15) сведения об ученой степени;
16) информация о владении иностранными языками, степень владения;
17) медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
18) информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
19) информация о наличии или отсутствии судимости;
20) информация об оформленных допусках к государственной тайне;
21) государственные награды, иные награды и знаки отличия;
22) сведения о профессиональной переподготовке и (или) повышении квалификации;
23) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
24) сведения о результатах аттестации;
25) материалы служебных проверок, расследований;
26) сведения о периодах нетрудоспособности;
27) сведения из записей актов гражданского состояния;
28) сведения о заработной плате (ведомости начисления заработной платы, табель учета рабочего времени, штатное расписание);
29) сведения о соблюдении ограничений и запретов, установленных в связи с прохождением государственной гражданской службы.
Перечень персональных данных субъекта, обрабатываемых
в комитете строительства Волгоградской области в связи
с рассмотрением обращений граждан, в порядке,
предусмотренном Федеральным законом от 02 мая 2006 г.
в„– 59-ФЗ "О порядке рассмотрения обращений граждан
Российской Федерации":
1) фамилия, имя, отчество;
2) адрес места жительства (адрес регистрации, фактического проживания);
3) почтовый адрес;
4) адрес электронной почты;
5) номер контактного телефона;
6) иные персональные данные, указанные заявителем в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
Приложение 7
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ СЛУЖАЩИХ КОМИТЕТА СТРОИТЕЛЬСТВА ВОЛГОГРАДСКОЙ
ОБЛАСТИ, ОТВЕТСТВЕННЫХ ЗА ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ
ПО ОБЕЗЛИЧИВАНИЮ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Начальник правового управления
2. Начальник отдела правового обеспечения
3. Начальник отдела судебной работы
4. Начальник отдела организационного обеспечения, документооборота и государственных закупок
5. Старший консультант сектора государственной службы, кадровой и антикоррупционной работы
6. Заведующий сектором защиты информации и мобилизационной работы
7. Начальник отдела обеспечения жилищных прав граждан
8. Начальник отдела управления жилищным фондом
9. Начальник отдела бюджетного планирования и отчетности
10. Начальник отдела строительной отрасли
11. Начальник отдела реализации государственных и региональных программ
12. Старший консультант сектора внутреннего финансового аудита
13. Начальник отдела капитальных вложений
Приложение 8
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ СЛУЖАЩИХ КОМИТЕТА СТРОИТЕЛЬСТВА ВОЛГОГРАДСКОЙ
ОБЛАСТИ, ЗАМЕЩЕНИЕ КОТОРЫХ ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО ДОСТУПА К ПЕРСОНАЛЬНЫМ
ДАННЫМ
Руководство
- председатель комитета
- первый заместитель председателя комитета
- заместитель председателя комитета
Отдел организационного обеспечения, документооборота
и государственных закупок
- начальник отдела
- консультант
- младший консультант
- специалист 1 категории
Правовое управление
- начальник управления
Отдел правового обеспечения
- начальник отдела
- старший консультант
- консультант
Отдел судебной работы
- начальник отдела
- старший консультант
- консультант
Сектор государственной службы, кадровой
и антикоррупционной работы
- старший консультант
- консультант
Сектор защиты информации и мобилизационной работы
- заведующий сектором
Сектор внутреннего финансового аудита
- старший консультант
Отдел капитальных вложений
- начальник отдела
- заместитель начальника отдела
- старший консультант
- консультант
- специалист 1 категории
Отдел бюджетного планирования и отчетности
- начальник отдела
- старший консультант
- консультант
Отдел развития строительной отрасли
- начальник отдела
- консультант
- младший консультант
Отдел реализации государственных и региональных программ
- начальник отдела
- старший консультант
- консультант
- специалист 1 категории
Отдел обеспечения жилищных прав граждан
- начальник отдела
- заместитель начальника отдела
- старший консультант
- консультант
- специалист 1 категории
Отдел управления жилищным фондом
- начальник отдела
- заместитель начальника отдела
- старший консультант
- консультант
- младший консультант
Приложение 9
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В КОМИТЕТЕ СТРОИТЕЛЬСТВА ВОЛГОГРАДСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Должностное лицо комитета строительства Волгоградской области (далее - комитет), ответственное за организацию обработки персональных данных, назначается и освобождается приказом комитета.
1.2. Должностное лицо, ответственное за организацию обработки персональных данных, должно руководствоваться в своей деятельности Федеральным законом от 27 июля 2006 г. в„– 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. в„– 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и другими нормативными правовыми актами, настоящей должностной инструкцией.
2. Должностные обязанности
Должностное лицо, ответственное за организацию обработки персональных данных, выполняет следующие обязанности:
- организует предоставление субъекту персональных данных по его просьбе информацию;
- осуществляет внутренний контроль за соблюдением требований законодательства Российской Федерации при обработке персональных данных в комитете, в том числе требований к защите персональных данных с привлечением руководителей структурных подразделений комитета;
- организует доведение до сведения государственных служащих положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организует прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов с привлечением руководителей структурных подразделений комитета;
- направляет уведомления о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных.
3. Права
Должностное лицо, ответственное за организацию обработки персональных данных, вправе:
- запрашивать и получать в установленном порядке от субъектов персональных данных или их представителей сведения, содержащие персональные данные;
- распоряжаться полученными персональными данными в пределах, установленных законодательством;
- в установленном порядке пользоваться системами связи, информационными базами данных и иными носителями информации комитета;
- привлекать должностных лиц, определенных приказом комитета, к выполнению функций по:
- организации технической защиты персональных данных, обрабатываемых в информационных системах персональных данных;
- приему и регистрации запросов субъектов персональных данных;
- соблюдению предусмотренных организационных и технических мер по обеспечению безопасности персональных данных в процессе их обработки;
- контролю за соблюдением предусмотренных организационных и технических мер по обеспечению безопасности персональных данных в структурных подразделениях комитета.
4. Ответственность
4.1. Должностное лицо, ответственное за организацию обработки персональных данных, в соответствии со своими полномочиями владеющее информацией о субъектах персональных данных, получающее и использующее ее, несет ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки персональных данных.
4.2. Должностное лицо, виновное в нарушении установленного законом порядка сбора, хранения, использования, распространения или защиты персональных данных, несет дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
Приложение 10
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
служащего комитета строительства Волгоградской области,
непосредственно осуществляющего обработку персональных данных, в случае
расторжения с ним служебного контракта или трудового договора прекратить
обработку персональных данных, ставших известными ему в связи с исполнением
должностных обязанностей
Я, ____________________________________________________________________
[фамилия, имя, отчество (последнее при наличии), дата рождения,
занимаемая/замещаемая должность]
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
__________________________________________________________________________,
обязуюсь прекратить обработку персональных данных, ставших известными мне в
связи с исполнением должностных обязанностей, в случае расторжения со мной
служебного контракта (трудового договора).
В соответствии со статьей 7 Федерального закона от 27 июля 2006 г.
в„– 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные
данные являются конфиденциальной информацией и я обязан(а) не раскрывать
третьим лицам и не распространять персональные данные без согласия субъекта
персональных данных, если иное не предусмотрено федеральным законом.
Ответственность, предусмотренная законодательством Российской Федерации,
мне разъяснена.
____________________ __________________ _____________________________
(дата) (подпись) (инициалы, фамилия)
Приложение 11
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ТИПОВАЯ ФОРМА
согласия на обработку персональных данных служащих комитета
строительства Волгоградской области, иных субъектов персональных данных
Я, ____________________________________________________________________
[фамилия, имя, отчество (последнее при наличии) субъекта
персональных данных,
__________________________________________________________________________,
представителя субъекта персональных данных]
зарегистрированный(ая) по адресу __________________________________________
__________________________________________________________________________,
проживающий(ая) по адресу _________________________________________________
__________________________________________________________________________,
*)
представляющий(ая) интересы _____________________________________________
[фамилия, имя, отчество (последнее при
наличии)
__________________________________________________________________________,
субъекта персональных данных]
*)
зарегистрированного(ой) по адресу _______________________________________
__________________________________________________________________________,
*)
проживающего(ей) по адресу ______________________________________________
__________________________________________________________________________,
*)
на основании ____________________________________________________________
(наименование и реквизиты документа, подтверждающего
полномочия
__________________________________________________________________________,
представителя субъекта персональных данных)
в порядке и на условиях, определенных Федеральным законом от 27 июля 2006
г. в„– 152-ФЗ "О персональных данных", даю согласие комитету строительства
Волгоградской области, расположенному по адресу 400098, Волгоград, ул.
Скосырева, 7 на обработку следующих персональных данных:
___________________________________________________________________________
(перечень персональных данных, на обработку которых дается согласие)
___________________________________________________________________________
__________________________________________________________________________.
Цель обработки персональных данных: ___________________________________
___________________________________________________________________________
__________________________________________________________________________.
Перечень действий с персональными данными, на совершение которых дается
согласие: _________________________________________________________________
___________________________________________________________________________
__________________________________________________________________________.
Описание используемых способов обработки персональных данных отражено в
статье 3 Федерального закона от 27 июля 2006 г. в„– 152-ФЗ "О персональных
данных".
Срок, в течение которого действует согласие: __________________________
[конкретный срок (дата,
период,
___________________________________________________________________________
событие), в течение которого действует согласие, с учетом сроков хранения,
установленных Перечнем типовых
___________________________________________________________________________
управленческих архивных документов, образующихся в процессе деятельности
государственных органов,
__________________________________________________________________________.
органов местного самоуправления и организаций, с указанием сроков хранения]
Согласие на обработку персональных данных может быть отозвано субъектом
персональных данных посредством направления в адрес комитета строительства
Волгоградской области письменного документа по почте заказным письмом с
уведомлением о вручении или электронного документа по электронной почте,
подписанного электронной подписью в соответствии с законодательством
Российской Федерации, либо посредством вручения письменного документа лично
под расписку представителю комитета строительства администрации
Волгоградской области.
Оператор вправе осуществлять обработку персональных данных субъекта
персональных данных с использованием средств автоматизации и без
использования средств автоматизации.
**)
Персональные данные: _______________________________________________
(перечень персональных данных, обработка
которых
___________________________________________________________________________
будет поручена третьему лицу)
**)
с целью ________________________________________________________________
(цель обработки персональных данных)
**)
могут быть переданы на обработку _______________________________________
___________________________________________________________________________
**)
в соответствии с _______________________________________________________
(наименование и реквизиты документа о поручении
__________________________________________________________________________.
обработки персональных данных третьему лицу)
В соответствии со статьей 7 Федерального закона от 27 июля 2006 г.
в„– 152-ФЗ "О персональных данных" оператором, получившим доступ к
персональным данным, обеспечивается их конфиденциальность.
________________________ __________________ ___________________________
(дата) (подпись) (инициалы, фамилия)
__________________________________
*)
Заполняется в случае, если согласие на обработку персональных данных
субъекта персональных данных дает представитель субъекта персональных
данных.
**)
Заполняется в случае, если обработка персональных данных будет
поручена третьему лицу.
Приложение 12
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических последствий отказа
представить свои персональные данные
Мне, __________________________________________________________________
[фамилия, имя, отчество (последнее при наличии), дата рождения,
занимаемая/замещаемая должность]
___________________________________________________________________________
___________________________________________________________________________
__________________________________________________________________________,
в соответствии с частью 2 статьи 18 Федерального закона от 27 июля 2006 г.
в„– 152-ФЗ "О персональных данных" разъяснены юридические последствия в
случае отказа представить комитету строительства Волгоградской области
персональные данные:
___________________________________________________________________________
(перечень персональных данных, которые необходимо представить)
___________________________________________________________________________
___________________________________________________________________________
в связи с _________________________________________________________________
(цель представления персональных данных)
__________________________________________________________________________,
обязанность представления которых установлена _____________________________
___________________________________________________________________________
(номер статьи, дата, номер и наименование федерального закона,
__________________________________________________________________________.
в соответствии с которым представление персональных данных
является обязательным)
_____________________ _________________ _______________________________
(дата) (подпись) (инициалы, фамилия)
Приложение 13
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ПОРЯДОК
ДОСТУПА СЛУЖАЩИХ КОМИТЕТА СТРОИТЕЛЬСТВА ВОЛГОГРАДСКОЙ
ОБЛАСТИ В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящий Порядок доступа сотрудников комитета строительства Волгоградской области (далее - комитет) в помещения, в которых ведется обработка персональных данных (далее - Порядок), разработан в соответствии с Федеральным законом от 27 июля 2006 г. в„– 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. в„– 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года в„– 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Персональные данные относятся к конфиденциальной информации. Сотрудники комитета строительства Волгоградской области, имеющие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
3. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается путем применения организационных мер, в том числе установлением правил доступа в помещения, где обрабатываются персональные данные в информационной системе персональных данных и без использования средств автоматизации, правил размещения экранов.
4. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. В нерабочее время помещения должны опечатываться, а ключи от дверей помещений сдаваться на пост охраны по журналу.
5. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
6. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, для самостоятельного пребывания допускаются только сотрудники комитета, уполномоченные на обработку персональных данных по утвержденным спискам.
7. Ответственными за организацию доступа в помещения комитета, в которых ведется обработка персональных данных, являются руководители структурных подразделений комитета.
8. Нахождение лиц, не являющихся сотрудниками комитета, или сотрудников комитета, не допущенных к персональным данным, в помещениях комитета, в которых осуществляется обработка персональных данных, возможно только в сопровождении сотрудников комитета, имеющих доступ к персональным данным. Время нахождения в указанных помещениях ограничивается временем решения служебного вопроса, в рамках которого возникла необходимость пребывания в помещениях комитета, в которых осуществляется обработка персональных данных.
Нахождение лиц, не являющихся уполномоченными лицами на обработку персональных данных, в помещениях, в которых ведется обработка персональных данных, без сопровождения уполномоченного должностного лица комитета запрещается.
9. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, осуществляется руководителями структурных подразделений комитета.
Приложение 14
к приказу
комитета строительства
Волгоградской области
от 17.04.2023 в„– 810-ОД
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И РЕАЛИЗАЦИИ
ТРЕБОВАНИЙ К ИХ ЗАЩИТЕ В КОМИТЕТЕ СТРОИТЕЛЬСТВА
ВОЛГОГРАДСКОЙ ОБЛАСТИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Назначение Политики.
- Настоящая Политика обработки персональных данных и реализации требований к их защите в комитете строительства Волгоградской области (далее - Политика, комитет) разработана в соответствии с Федеральным законом от 27.07.2006 в„– 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), постановлением Правительства Российской Федерации от 21.03.2012 в„– 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
- Политика подлежит пересмотру в ходе периодического анализа со стороны руководства комитета строительства Волгоградской области, а также в случаях изменения законодательства Российской Федерации в области персональных данных.
- Политика подлежит опубликованию на официальном сайте комитета в течение 10 дней после ее утверждения.
1.2. Цели Политики.
- Целью Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных комитетом.
1.3. Основные понятия:
- для целей Политики используются следующие понятия:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешенные субъектом персональных данных для распространения персональные данные, - доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом "О персональных данных";
субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
1.4. Область действия.
- Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой комитетом:
- с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;
- без использования средств автоматизации.
- Настоящей Политикой должны руководствоваться все сотрудники комитета, осуществляющие обработку персональных данных или имеющие к ним доступ.
2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных осуществляется комитетом в следующих целях:
- ведения бухгалтерского учета;
- ведения кадрового учета;
- проведения конкурсов на замещение вакантных должностей; обеспечение кадрового резерва;
- содействия сотрудникам в трудоустройстве;
- профессиональная подготовки сотрудников комитета, их переподготовка, повышение квалификации и стажировка;
- оказания государственных услуг;
- рассмотрение обращений граждан.
2.2. В иных случаях обработка персональных данных осуществляется комитетом в соответствии с требованиями федеральных законов Российской Федерации.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Основанием обработки персональных данных в комитете являются следующие нормативные акты и документы:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации от 31.12.2001 в„– 197-ФЗ;
- Налоговый кодекс Российской Федерации от 05.08.2000 в„– 117-ФЗ;
- Уголовный кодекс Российской Федерации от 13.06.1996 в„– 63-ФЗ;
- Федеральный закон Российской Федерации от 27.07.2004 в„– 79-ФЗ "О государственной гражданской службе Российской Федерации";
- Федеральный закон Российской Федерации от 27.07.2006 в„– 152-ФЗ "О персональных данных";
- Федеральный закон от 27.07.2006 в„– 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Федеральный закон Российской Федерации от 06.12.2011 в„– 402-ФЗ "О бухгалтерском учете";
- Указ Президента Российской Федерации от 06.03.1997 в„– 188 "Об утверждении Перечня сведений конфиденциального характера"; Постановление Правительства Российской Федерации от 06.07.2008 в„– 152 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
- Постановление Правительства Российской Федерации от 15.09.2008 в„– 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- Постановление Правительства Российской Федерации от 21.03.2012 в„– 211 "Об утверждении перечня мер, направленных на обеспечение обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- Постановление Правительства Российской Федерации от 01.11.2012 в„– 1119 "Об утверждении требовании к защите персональных данных при их обработке в информационных системах персональных данных";
- Иные нормативные правовые акты Российской Федерации и Волгоградской области;
- Организационно-распорядительные документы комитета.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ,
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. В соответствии с целями обработки персональных данных, указанными в п. 2 настоящей Политики, комитетом осуществляется обработка следующих категорий субъектов персональных данных:
- государственные гражданские служащие;
- работники, замещающие должности, не относящиеся к должностям государственной гражданской службы;
- граждане, обратившиеся в комитет за предоставлением государственных услуг, а также в связи с рассмотрением обращений, жалоб и заявлений;
- граждане, трудоустраивающиеся на службу (работу) в комитет;
- граждане, при формировании кадрового резерва;
- руководители подведомственных комитету учреждений.
4.2. В соответствии с целями обработки персональных данных, указанными в п. 2 настоящей Политики, комитетом осуществляется обработка персональных данных указанных в приложении 6 к настоящему приказу.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Принципы обработки персональных данных.
Обработка персональных данных осуществляется комитетом в соответствии со следующими принципами:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; комитет принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.2. Условия обработки персональных данных.
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Законом о персональных данных.
Обработка специальных категорий персональных данных осуществляется комитетом в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.
Сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность (биометрические персональные данные) комитетом не обрабатываются.
Обработка иных категорий персональных данных осуществляется комитетом с соблюдением следующих условий:
- обработка персональных данных необходима для исполнения полномочий, предусмотренных Федеральным законом от 27 июля 2010 года в„– 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Комитет вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение).
Комитет вправе поручить обработку персональных данных:
- Государственному казенному учреждению Волгоградской области "Управление капитального строительства" (адрес: 400066, г. Волгоград, ул. им. Скосырева, д. 7);
- Государственному автономному учреждению Волгоградской области "Управление государственной экспертизы проектов" (адрес: 400005, г. Волгоград, ул. 7-й Гвардейской, 2А).
Лицо, осуществляющее обработку персональных данных по поручению комитета, соблюдает принципы и правила обработки персональных данных, предусмотренные настоящей Политикой, соблюдает конфиденциальность персональных данных, принимает необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных". При поручении обработки персональных данных другому лицу ответственность перед субъектом персональных данных за действия указанного лица несет комитет. Лицо, осуществляющее обработку персональных данных по поручению комитета, несет ответственность перед комитетом.
Комитет вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.3. Сотрудники комитета, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.4. Комитет не создает общедоступные источники персональных данных.
5.5. Согласие субъекта персональных данных на обработку его персональных данных:
- При необходимости обеспечения условий обработки персональных данных субъекта может предоставляться согласие субъекта персональных данных на обработку его персональных данных.
- Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются комитетом.
- Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных комитет вправе продолжить обработку персональных данных без согласия субъекта персональных данных при выполнении альтернативных условий обработки персональных данных.
- Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство выполнения альтернативных условий обработки персональных данных возлагается на комитет.
- В случаях, предусмотренных Законом о персональных данных, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
- Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных услуг, устанавливается Правительством Российской Федерации.
- В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
- В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
- Персональные данные могут быть получены комитетом от лица, не являющегося субъектом персональных данных, при условии предоставления комитету подтверждения наличия альтернативных условий обработки информации.
5.6. Трансграничная передача персональных данных комитетом не осуществляется.
5.7. Особенности обработки персональных данных в государственных или региональных информационных системах персональных данных.
- Государственные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные информационные системы персональных данных.
- Федеральными законами могут быть установлены особенности учета персональных данных в информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или региональной информационной системе персональных данных, конкретному субъекту персональных данных.
- В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в информационных системах может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
5.8. Обработка персональных данных, осуществляемая без использования средств автоматизации.
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники комитета или лица, осуществляющие такую обработку по договору с комитетом), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется комитетом без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами комитета.
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), соблюдаются следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес комитета, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых комитетом способов обработки персональных данных;
б) типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма составляется таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
- Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации.
Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются комитетом.
5.9. Обработка метрических данных.
На сайте комитета не применяются инструменты веб-аналитики.
Обработка файлов cookie комитетом осуществляется в обобщенном виде и никогда не соотносится с личными сведениями Пользователей.
Сайт расположен на мощностях Государственного бюджетного учреждения Волгоградской области "Центр информационных технологий Волгоградской области" (400012, Волгоградская обл., гор. Волгоград, ул. Витимская, д. 15А).
6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП
К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. Права субъектов персональных данных:
Субъект персональных данных имеет право на получение информации (далее - запрашиваемая субъектом информация), касающейся обработки его персональных данных, за исключением следующих случаев:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработку персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Субъект персональных данных вправе требовать от комитета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Запрашиваемая субъектом информация должна быть предоставлена субъекту персональных данных комитетом в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Запрашиваемая информация предоставляется субъекту персональных данных или его представителю комитетом в течение десяти рабочих дней с момента обращения либо получения комитетом запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления комитетом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации (пункт 3 статьи 14 Закона о персональных данных). Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с комитетом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных комитетом, подпись субъекта персональных данных или его представителя (далее - необходимая для запроса информация). Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Комитет предоставляет запрашиваемые сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение или запрос, если иное не указано в обращении или запросе.
В случае если запрашиваемая субъектом информация, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в комитет или направить повторный запрос в целях получения запрашиваемой субъектом информации и ознакомления с такими персональными данными не ранее чем через тридцать дней (далее - нормированный срок запроса) после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пункт 4 статьи 14 Федерального закона "О персональных данных".
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации комитетом не осуществляется.
Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, комитетом не осуществляется.
- Обжалование действий или бездействия комитета:
Если субъект персональных данных считает, что комитет осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие комитета в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Комитет при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуры оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
В случае выявления неправомерной обработки персональных данных комитет осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных комитет осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных комитет на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных, комитет в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению комитета. В случае если обеспечить правомерность обработки персональных данных невозможно, комитет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение.
В случае достижения цели обработки персональных данных комитет прекращает обработку персональных данных или обеспечивает ее прекращение и уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных комитет прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
В случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных комитет в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления комитетом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, комитет блокирует такие персональные данные или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению комитета) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7. СФЕРЫ ОТВЕТСТВЕННОСТИ
Лица, ответственные за организацию обработки персональных данных:
- комитет назначает лицо, ответственное за организацию обработки персональных данных из числа государственных служащих относящихся к высшей или главной группе должностей категории "руководители".
- лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
- Комитет предоставляет лицу, ответственному за организацию обработки персональных данных, необходимые сведения.
- Лицо, ответственное за организацию обработки персональных данных, в частности, выполняет следующие функции:
1) осуществляет внутренний контроль за соблюдением комитетом и сотрудниками комитета законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводит до сведения сотрудников комитета положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.7.2. Ответственность.
- Лица, виновные в нарушении требований Закона о персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
- Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
8. КЛЮЧЕВЫЕ РЕЗУЛЬТАТЫ
При достижении целей ожидаются следующие результаты:
- обеспечение защиты прав и свобод субъектов персональных данных при обработке его персональных данных комитетом;
- повышение общего уровня информационной безопасности комитета;
- минимизация юридических рисков комитета.
9. СВЯЗНЫЕ ПОЛИТИКИ
Связные политики отсутствуют.
------------------------------------------------------------------
