1) Настоящая политика в отношении обработки персональных данных в министерстве градостроительной деятельности и развития агломераций Нижегородской области Нижегородской области (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), устанавливает требования к обработке и защите персональных данных, определяет права, обязанности и ответственность уполномоченных лиц, осуществляющих обработку и защиту персональных данных в министерстве градостроительной деятельности и развития агломераций Нижегородской области (далее – Министерство).

2) Политика вступает в силу с момента ее утверждения министром градостроительной деятельности и развития агломераций Нижегородской области и действует бессрочно до замены его новой Политикой.

3) Политика подлежит пересмотру в ходе периодического анализа со стороны руководства Министерства, а также в случаях изменения законодательства Российской Федерации в области персональных данных.

4) Политика подлежит опубликованию на официальном сайте Министерства (mingrad.nobl.ru).

5) Все сотрудники Министерства, допущенные к работе с персональными данными, в обязательном порядке должны быть ознакомлены с настоящей Политикой, положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных под подпись в «Журнале учета ознакомления сотрудников с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, а также информирования и ознакомления сотрудников по вопросам информационной безопасности», утвержденном приказом Министерства (далее - Журнал). Ответственным за ведение Журнала является сотрудник Министерства, назначенный ответственным за организацию обработки персональных данных.

6) Ответственным за пересмотр Политики является сотрудник Министерства, назначенный ответственным за организацию обработки персональных данных. Измененная Политика утверждается приказом Министерства.

1.2. Цели Политики:

1) Обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных Министерством;

2) Обеспечение соответствия законодательству Российской Федерации действий должностных лиц Министерства, имеющих доступ и обрабатывающих персональные данные;

3) Определение порядка обработки персональных данных в Министерстве.

1.3. Основные понятия

Для целей Политики используются следующие понятия:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;

субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;

уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

1.4. Область действия Политики

1) Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой Министерством:

– с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;

– без использования средств автоматизации.

2) Настоящей Политикой должны руководствоваться все сотрудники Министерства, осуществляющие обработку персональных данных или имеющие к ним доступ.

2. Цели обработки персональных данных

2.1. Обработка персональных данных осуществляется Министерством в следующих целях:

– ведение кадрового и бухгалтерского учета;

– обеспечение соблюдения законодательства о государственной гражданской службе в РФ;

– опубликование информации о сотрудниках Министерства на официальном сайте;

– рассмотрение обращений граждан, подготовка ответов на обращения;

– оказание государственных услуг Министерством, предусмотренных законодательством РФ;

– участие лица во всех инстанциях судов общей юрисдикции и арбитражных судах;

– формирование ключевой информации должностного лица Министерства;

– осуществление закупки товара, работы, услуги для обеспечения государственных нужд.

3. Правовые основания обработки персональных данных

3.1. Основанием обработки персональных данных в Министерстве являются следующие нормативные акты и документы:

– Конституция Российской Федерации;

– Гражданский кодекс Российской Федерации;

– Гражданский процессуальный кодекс Российской Федерации;

– Градостроительный кодекс Российской Федерации;

– Земельный кодекс Российской Федерации;

– Жилищный кодекс Российской Федерации

– Семейный кодекс Российской Федерации;

– Бюджетный кодекс Российской Федерации;

– Трудовой кодекс Российской Федерации;

– Арбитражный процессуальный кодекс Российской Федерации;

– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

– Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

– Федеральный закон от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации»;

– Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;

– Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;

– Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;

– Федеральный закон от 09.02.2009 N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления";

– Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;

– Приказ федерального архивного агентства от 20.12.2019 №236 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения» (далее – Перечень типовых управленческих архивных документов);

– Приказ ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;

– Положение о министерстве градостроительной деятельности и развития агломераций Нижегородской области, утвержденного постановлением Правительства Нижегородской области от 16.04.2020 № 308.

3.2. В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Министерства, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

3.3. Обработка персональных данных прекращается при ликвидации или прекращении деятельности Министерства в результате реорганизации.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. Министерство может обрабатывать персональные данные следующих категорий субъектов персональных данных:

1) Государственные гражданские служащие, сотрудники Министерства, бывшие государственные гражданские служащие и бывшие сотрудники Министерства (далее – сотрудники Министерства, бывшие сотрудники Министерства), в том числе органов исполнительной власти, не являющихся юридическими лицами, соискатели на замещение вакантных должностей государственной гражданской службы и должностей, не являющихся должностями государственной гражданской службы, руководители подведомственных учреждений (организаций), – для целей исполнения законодательства о государственной гражданской службе, трудового законодательства в рамках служебных (трудовых) и иных непосредственно связанных с ними отношений:

- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);

- число, месяц, год рождения;

- контактные данные;

- паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения);

- индивидуальный номер налогоплательщика;

- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;

- пол;

- информация о гражданстве;

- адрес места жительства (адрес регистрации, фактического проживания);

- место рождения;

- семейное положение, наличие детей, родственные связи;

- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

- данные о регистрации брака;

- сведения, содержащиеся в листках нетрудоспособности.

- сведения о государственной регистрации актов гражданского состояния;

- сведения о трудовой деятельности (в том числе о стаже);

- информация об оформленных допусках к государственной тайне;

- сведения о счетах в банках и иных кредитных организациях, реквизиты банковских карт;

- табельный номер;

- информация о явках/неявках на работу;

- сведения, указанные в исполнительных листах;

- сведения о начислениях, о выплатах;

- дополнительные социальные льготы и гарантии;

- сведения о воинском учете;

- сведения об инвалидности;

- сведения об удержании алиментов;

- сведения о доходе с предыдущего места работы;

- иные персональные данные, предоставляемые сотрудниками в соответствии с требованиями законодательства о государственной гражданской службе и трудового законодательства.

2) близкие родственники сотрудников Министерства – для целей исполнения законодательства о государственной гражданской службе и трудового законодательства в рамках служебных (трудовых) и иных непосредственно связанных с ними отношений:

- фамилия, имя, отчество (последнее – при наличии);

- число, месяц, год рождения;

- место рождения;

- степень родства;

- реквизиты свидетельства о браке;

- сведения об образовательном учреждении детей;

- данные свидетельства о рождении детей.

3) Граждане Российской федерации (представители юридических лиц, физические лица и их представители):

- фамилия, имя, отчество (последнее – при наличии);

- адрес электронной почты (в случае электронного обращения);

- почтовый адрес (в случае письменного обращения);

- паспортные данные (серия, номер паспорта, кем и когда выдан);

- сведения о земельном участке, объекте строительства;

- документы на объекты недвижимости;

- дополнительная информация, предоставляемая гражданами по желанию (социальное положение, номер телефона).

4) Лица, состоящие в договорных отношениях гражданско-правового характера с Министерством (представители юридических лиц, физические лица и их представители):

- фамилия, имя, отчество (последнее – при наличии);

- сведения, содержащиеся в документе, удостоверяющем личность (паспортные данные);

- адрес регистрации и фактического проживания;

- контактные данные;

- банковские реквизиты;

- идентификационный номер налогоплательщика;

- иные персональные данные, предоставляемые контрагентами (физическими лицами), необходимые для заключения и исполнения контрактов.

4.3. Полный перечень персональных данных, обрабатываемых в Министерстве, с указанием соответствующих целей обработки персональных данных утверждается приказом Министерства.

4.4. Персональные данные сотрудников Министерства в рамках служебных (трудовых) отношений, а также бухгалтерских и иных непосредственно связанных с ними отношений, могут обрабатываться как самим Министерством, так и сторонними организациями по договорам поручения на обработку персональных данных.

4.4. Обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) Министерством не осуществляется.

4.5. Министерством осуществляется обработка специальных категорий персональных данных, касающихся состояния здоровья, только в случаях, предусмотренных законодательством Российской Федерации. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Министерством не осуществляется, если законодательством Российской Федерации не установлено иное.

5. Порядок и условия обработки персональных данных

5.1. Принципы обработки персональных данных

Обработка персональных данных осуществляется Министерством в соответствии со следующими принципами:

– обработка персональных данных осуществляется на законной и справедливой основе;

– обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

– обработке подлежат только персональные данные, которые отвечают целям их обработки;

– содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;

– при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; Министерство принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

– хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.2. Условия обработки персональных данных

5.2.1. Обработка персональных данных осуществляется Министерством в соответствии с требованиями законодательства Российской Федерации.

5.2.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

5.2.3. Министерство осуществляет обработку персональных данных для каждой цели их обработки следующим способом:

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям;

- без использования средств автоматизации;

- смешанная обработка персональных данных.

5.2.4. К обработке персональных данных допускаются сотрудники Министерства, в должностные обязанности которых входит работа с персональными данными.

5.2.5. Обработка персональных данных для каждой цели обработки, указанной в пункте 2.2 настоящей Политики, осуществляется путем:

- получения персональных данных в письменной форме непосредственно от субъектов персональных данных;

- внесения персональных данных в информационные системы, используемые Министерством;

- использования иных способов обработки персональных данных.

5.2.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены приказом Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

5.2.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Фонд пенсионного и социального страхования Российской Федерации и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

5.2.8. Министерство принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

- определяет угрозы безопасности информации в информационной системе Министерства;

- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

- назначает ответственного за организацию обработки персональных данных;

- назначает ответственного за обеспечение безопасности персональных данных;

- создает необходимые условия для работы с персональными данными;

- организует учет документов, содержащих персональные данные;

- организует работу с информационными системами, в которых обрабатываются персональные данные;

- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

- осуществляет внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам Министерства;

- ознакомляет сотрудников Министерства, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников Министерства.

- обнаруживает факты несанкционированного доступа к персональным данным и принимает меры по устранению несанкционированного доступа к персональным данным;

- восстанавливает персональные данные, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- устанавливает запрет на использование пользователями административных учётных записей;

- утверждает перечень разрешенного программного обеспечения;

- утверждает перечень пользователей, которым разрешен доступ к персональным данным.

5.2.9. Министерство осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации.

5.2.10. Персональные данные на бумажных носителях хранятся в Министерстве в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденный приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»).

5.2.11. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

5.2.12. Министерство прекращает обработку персональных данных в следующих случаях:

- выявлен факт их неправомерной обработки. Срок прекращения обработки персональных данных – в течение трех рабочих дней с даты выявления;

- достигнута цель их обработки;

- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Федеральному закону «О персональных данных» обработка этих данных допускается только с согласия.

5.2.13. При достижении целей обработки персональных данных, а также в случае окончания срока действия либо отзыва субъектом персональных данных согласия на их обработку Министерство прекращает обработку этих данных в срок, не превышающий тридцати дней с даты достижения цели обработки, с даты окончания срока действия или поступления указанного отзыва персональных данных, соответственно, если:

- Министерство не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;

- иное не предусмотрено другим соглашением между Министерством и субъектом персональных данных.

5.2.14. При обращении субъекта персональных данных к Министерству с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Министерством соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Федеральным законом «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Министерству необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

5.2.15. При сборе персональных данных, в том числе посредством информационно - телекоммуникационной сети «Интернет», Министерство обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе «О персональных данных».

5.2.16. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Министерством.

5.2.17. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Министерство вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, пунктах 2 – 10 части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных».

5.2.18. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 – 11 части 1 статьи 6, пунктах 2 – 10 части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных», возлагается на Министерство.

5.2.19. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных услуг, устанавливается Правительством Российской Федерации.

5.2.20. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

5.2.21. Персональные данные могут быть получены Министерством от лица, не являющегося субъектом персональных данных, при условии предоставления Министерству подтверждения наличия оснований, указанных в пунктах 2 – 11 части 1 статьи 6, пунктах 2 – 10 части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных».

5.3. Трансграничная передача персональных данных

Трансграничная передача персональных данных Министерством не осуществляется.

5.4. Обработка персональных данных, осуществляемая без использования средств автоматизации

5.4.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

5.4.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).

5.4.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.

5.4.4. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники Министерства или лица, осуществляющие такую обработку по договору с Министерством), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Министерством без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Министерства.

5.4.5. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, что в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

5.4.6. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

5.4.7. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Министерством.

6. Актуализация, исправление, удаление и уничтожение персональных данных

6.1. Подтверждение факта обработки персональных данных Министерством, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются Министерством субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя.

Данный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Министерству следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Запрос должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Министерством (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Министерством;

- подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Министерство предоставляет сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных», в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа Министерство осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, 12 с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Министерство на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо уполномоченного органа Министерство осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

6.4. При выявлении Министерством, уполномоченным органом или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Министерство:

- в течение 24 часов – уведомляет уполномоченный орган по защите прав субъектов персональных данных (далее – уполномоченный орган) о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Министерством на взаимодействие с уполномоченным органом по вопросам, связанным с инцидентом;

- в течение 72 часов – уведомляет уполномоченный орган о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

6.5. Уничтожение документов, содержащих персональные данные, производится:

- по достижении целей их обработки согласно номенклатуре дел и документов;

- по достижении окончания срока хранения персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;

- в случае выявления неправомерной обработки персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных.

6.6. Уничтожение персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных).

6.7. Уничтожение производится по мере необходимости, в зависимости от объемов, накопленных для уничтожения документов. Для уничтожения материальных носителей и информации на материальных носителях документально создается комиссия по защите персональных данных в составе не менее 2 человек. Уничтожение документов, содержащих персональные данные, осуществляется по акту (Приложение). Накапливаемые для уничтожения документы, копии документов, черновики, содержащие персональные данные, должны храниться отдельно.

7. Права субъектов персональных данных

7.1 Субъект персональных данных имеет право:

1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Министерством в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Федеральным законом «О персональных данных»;

2) требовать от Министерства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

3) обжаловать в уполномоченном органе или в судебном порядке неправомерные действия или бездействие Министерства при обработке его персональных данных.

7.2. Запрашиваемая субъектом информация должна быть предоставлена субъекту персональных данных Министерством в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

7.3. Запрашиваемая информация предоставляется субъекту персональных данных или его представителю Министерством в течение десяти рабочих дней с момента обращения либо получения Министерством запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Министерством в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Министерством, либо сведения, иным образом подтверждающие факт обработки персональных данных Министерством, подпись субъекта персональных данных или его представителя (далее – необходимая для запроса информация). Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Министерство предоставляет запрашиваемые сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение или запрос, если иное не указано в обращении или запросе.

7.4. В случае если запрашиваемая субъектом информация, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Министерство или направить повторный запрос в целях получения запрашиваемой субъектом информации и ознакомления с такими персональными данными не ранее чем через тридцать дней (далее – нормированный срок запроса) после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом «О персональных данных», принятым в соответствии с ним нормативным правовым актом или соглашением, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.5. Субъект персональных данных вправе обратиться повторно в Министерство или направить повторный запрос в целях получения запрашиваемой субъектом информации, а также в целях ознакомления с обрабатываемыми персональными данными до истечения нормированного срока запроса в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать обоснование направления повторного запроса.

7.6. Субъект персональных данных не имеет право на получение запрашиваемой субъектом информации, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

7.7. Министерство вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Министерстве.

7.8. Если субъект персональных данных считает, что Министерство осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Министерства в уполномоченный орган.

8. Права и обязанности Министерства

8.1. Министерство вправе:

1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом «О персональных данных» или другими федеральными законами;

2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом соглашения. Лицо, осуществляющее обработку персональных данных по поручению Министерства, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;

3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Министерство вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».

8.2. Министерство обязано:

1) организовывать обработку персональных данных в соответствии с требованиями Федерального закона «О персональных данных»;

2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Федерального закона «О персональных данных»;

3) сообщать в уполномоченный орган по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Министерству необходимо направить в уполномоченный орган мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;

4) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.

9. Сферы ответственности

9.1. Лица, ответственные за организацию обработки персональных данных в организациях

9.1.1. Министерство назначает лицо, ответственное за организацию обработки персональных данных.

9.1.2. Министерство предоставляет лицу, ответственному за организацию обработки персональных данных, необходимые сведения.

9.1.3. Лицо, ответственное за организацию обработки персональных данных, в частности, выполняет следующие функции:

1) осуществляет внутренний контроль за соблюдением Министерством и сотрудниками Министерства законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводит до сведения сотрудников Министерства положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.

9.2. Ответственность

9.2.1. Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

9.2.2. За неисполнение или ненадлежащее исполнение сотрудником Министерства по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять дисциплинарные взыскания, предусмотренные Федеральным законом от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации» и Трудовым Кодексом РФ.

9.2.3. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

10. Ключевые результаты

При достижении целей ожидаются следующие результаты:

– обеспечение защиты прав и свобод субъектов персональных данных при обработке его персональных данных Министерством;

– повышение общего уровня информационной безопасности Министерства;

– минимизация юридических рисков Министерства.

11. Связные политики

Связные политики отсутствуют.

Приложение

УТВЕРЖДЕНО

приказом министерства

градостроительной деятельности

и развития агломераций

Нижегородской области

от ______________ № _____

АКТ уничтожения (стирания)

носителей персональных данных министерства градостроительной деятельности и развития агломераций Нижегородской области

Комиссия по защите персональных данных руководствуясь приказом министерства градостроительной деятельности и развития агломераций Нижегородской области
от «__» ___________ 20___г. № _____ «Об утверждении Политики в отношении обработки персональных данных в министерстве градостроительной деятельности и развития агломераций Нижегородской области»,

в составе председателя:

^{(должность,}^{Фамилия}^И.О.)

и членов комиссии:

^{(должность,}^{Фамилия}^И.О.)

подтверждает выполнение следующих работ:

1. Произвела отбор носителей персональных данных, не подлежащих дальнейшему хранению:

№

п/п

Дата

Вид материального носителя персональных данных/ учетный номер

Метод уничтожения (стирания)

Причина уничтожения материального носителя персональных данных

Всего носителей _______________________________________

2. Было произведено уничтожение (стирание) перечисленных носителей.

Председатель комиссии:

Члены комиссии:

Название

Дата

Документ

Положение об обработке и защите персональных данных в министерстве

15 августа 2024

Раздел: Прочие документы

Тип: Прочие

Уровень: Локальный

15 августа 2024

Скачать документ

pdf, 0 Б
RSS лента

Новости не найдены
RSS лента

События не найдены
Проектов не найдено
Доклады не найдены
Вопросы не найдены
Фотоальбомы не найдены
Видеоролики не найдены