ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ДЕПАРТАМЕНТЕ КОНКУРСОВ И АУКЦИОНОВ ИВАНОВСКОЙ ОБЛАСТИ



ДЕПАРТАМЕНТ КОНКУРСОВ И АУКЦИОНОВ

ИВАНОВСКОЙ ОБЛАСТИ

П Р И К А З

от 19 марта 2018 года                                                                                                     № 40 - ОД

г. Иваново

ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ДЕПАРТАМЕНТЕ КОНКУРСОВ И АУКЦИОНОВ  ИВАНОВСКОЙ ОБЛАСТИ

В соответствии Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» приказываю:

1. Утвердить Правила обработки персональных данных в Департаменте конкурсов и аукционов  Ивановской области (приложение).

2. Отделу финансовой отчетности и организационно-правового обеспечения Департамента финансов Ивановской области:

- направить настоящий приказ в Управление Минюста России по Ивановской области;

- обеспечить официальное опубликование настоящего приказа в информационном издании "Собрание законодательства Ивановской области";

- ознакомить с настоящим приказом заместителей начальника Департамента конкурсов и аукционов Ивановской области, руководителей структурных подразделений Департамента конкурсов и аукционов Ивановской области под роспись.

3. Руководителям структурных подразделений Департамента ознакомить с настоящим приказом подчиненных сотрудников.

4. Приказ Департамента конкурсов и аукционов Ивановской области от 29.06.2017 № 54-ОД «Об утверждении Правил обработки персональных данных в Департаменте конкурсов и аукционов  Ивановской области» считать утратившим силу. 

5. Контроль за исполнением настоящего приказа возложить на начальника отдела финансовой отчетности и организационно – правового обеспечения Департамента конкурсов и аукционов Ивановской области Е.В.Булакову.

И.о. начальника Департамента                                                       Ю.В. Бондаренко

Дело

Приложение

к приказу Департамента

конкурсов и аукционов

Ивановской области

от 19 марта 2018 года № 40 - ОД

              П Р А В И Л А              

обработки персональных данных

в Департаменте конкурсов и аукционов Ивановской области

1. Общие положения

1.1. Понятие и основания обработки персональных данных.

1.1.1. Настоящие Правила определяют порядок обработки персональных данных в Департаменте конкурсов и аукционов Ивановской области (далее – Правила, Департамент).

1.1.2. Департамент является оператором в отношении обрабатываемых персональных данных.

1.1.3. Обработка персональных данных включает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.1.4. Обработка персональных данных осуществляется:

- на основании согласия субъекта персональных данных на их обработку;

- для выполнения возложенных на Департамент функций, полномочий и обязанностей;

- для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством;

- для заключения и исполнения договора, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных;

- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- для осуществления прав и законных интересов Департамента, третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- для обработки информации в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

- в иных, прямо предусмотренных федеральным законом случаях.

1.2. Цели и задачи

1.2.1 Целями настоящих Правил выступают:

- обеспечение соответствия законодательству действий лиц, осуществляющих от имени Департамента обработку персональных данных, далее именуемых «уполномоченные должностные лица»;

- обеспечение защиты персональных данных от несанкционированного доступа, утраты, неправомерного их использования или распространения.

1.2.2 Задачами настоящих Правил являются:

- определение порядка обработки персональных данных;

- определение условий обработки персональных данных, способов их защиты;

- определение прав и обязанностей Департамента, уполномоченных должностных лиц и субъектов персональных данных при обработке персональных данных.

1.3. Состав персональных данных.

1.3.1 Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.3.2 Информация о персональных данных может содержаться:

- на бумажных носителях;

- на электронных носителях.

1.3.3. Департамент использует следующие способы обработки персональных данных:

- без использования средств автоматизации;

- смешанная обработка (с применением объектов вычислительной техники).

Порядок сбора и уточнения персональных данных

2.1. Сбор документов, содержащих персональные данные, осуществляется путем их приобщения к материалам учетных дел либо путем создания, в том числе:

- копирования представленных оригиналов документов;

- внесения сведений в учетные формы (на бумажных и электронных носителях).

Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

2.2. Субъект персональных данных свои персональные данные предоставляет в Департамент самостоятельно либо через своего представителя. В случаях, предусмотренных законодательством, персональные данные также могут быть переданы Департаменту третьими лицами.

2.3. Субъект персональных данных при передаче своих персональных данных принимает решение о предоставлении согласия на обработку персональных данных.

Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно либо его представителем.

Равнозначным содержащему собственноручную подпись субъекта персональных данных, его представителя согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

2.4. При получении персональных данных от субъекта персональных данных (его представителя) на личном приеме уполномоченное должностное лицо обязано:

- разъяснить права, цели и порядок обработки персональных данных;

- предложить предоставить Департаменту Согласие на обработку персональных данных по рекомендуемой форме;

- разъяснить последствия отказа предоставить персональные данные, передача которых в соответствии с законодательством является обязательной;

- проверить содержание Согласия на обработку персональных данных, предоставленного в произвольной форме, на его соответствие требованиям п. 2.5 настоящих Правил.

2.5. Согласие на обработку персональных данных должно включать в себя:

- фамилию, имя, отчество субъекта персональных данных, адрес, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;

- наименование и адрес Департамента;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных субъекта персональных данных (в случае, если обработка персональных данных поручена Департаментом третьему лицу);

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Департаментом способов обработки персональных данных;

- срок, в течение которого действует согласие на обработку персональных данных, а также способ его отзыва;

- подпись.

2.6. В случае получения персональных данных от третьих лиц, до начала обработки таких персональных данных Департамент обязан уведомить об этом субъекта персональных данных.

2.7. Департамент освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 2.6 настоящих Правил, в случаях, если:

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных третьим лицом, предоставившим Департаменту персональные данные;

- персональные данные получены Департаментом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

- персональные данные сделаны субъектом персональных данных общедоступными или получены из общедоступного источника;

- обработка персональных данных осуществляется для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

Порядок использования и хранения различных

категорий персональных данных

3.1. Принципы использования и хранения персональных данных

3.1.1. Общий срок использования персональных данных определяется периодом времени, в течение которого Департамент осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки.

3.1.2. Использование персональных данных осуществляется с момента их получения Департаментом и прекращается:

- по достижении целей обработки;

- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки.

3.1.3. Использование персональных данных осуществляется при соблюдении принципа раздельности их обработки.

Персональные данные при их обработке обособляются от иной информации, в частности путем фиксации их в отдельных файлах, на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).

Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

3.1.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на нем персональных данных, уполномоченные должностные лица осуществляют следующие меры по обеспечению раздельной обработки персональных данных:

- при необходимости использования определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.

Установленные выше положения применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

3.1.5. Персональные данные могут храниться на бумажных (и иных материальных) носителях и (или) в электронном виде централизованно или в соответствующих структурных подразделениях.

3.1.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Сроки хранения персональных данных (материальных носителей) устанавливаются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов.

Порядок передачи персональных данных

4.1. Передача персональных данных может осуществляться на основании письменных запросов, в том числе запросов в форме электронного документа, а также в рамках заключенных письменных договоров (соглашений).

4.2. Основанием передачи персональных данных органам государственной и муниципальной власти, судебным органам, органам прокуратуры и следствия, физическим и юридическим лицам является:

- наличие норм законодательства, регламентирующих порядок и случаи передачи персональных данных;

- наличие письменного согласия субъекта персональных данных на обработку (в том числе передачу) его персональных данных.

4.3. При передаче персональных данных уполномоченное должностное лицо должно соблюдать следующие требования:

- не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, прямо установленных законодательством;

- уведомить получающих их лиц о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

- уведомить о факте их передачи субъекта персональных данных;

- не вносить в материальные и электронные носители персональных данных какие-либо пометки, исправления, вносить новые записи, извлекать документы или помещать новые, если это нарушает порядок обработки персональных данных.

4.4. Субъекты персональных данных имеют право на получение от Департамента информации о:

- подтверждении факта обработки персональных данных;

- правовых основаниях и целях обработки персональных данных;

- целях и применяемых способах обработки персональных данных;

- наименовании и месте нахождения Департамента, сведениях о третьих лицах (за исключением должностных лиц Департамента), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;

- обрабатываемых персональных данных, источнике их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроках обработки персональных данных, в том числе сроках их хранения;

- порядке осуществления субъектом персональных данных своих прав;

- осуществленной или о предполагаемой трансграничной передаче данных (сведения о том, что трансграничная передача персональных данных Департаментом не осуществляется);

- наименовании или фамилии, имени, отчестве и адресе лица, осуществляющего обработку персональных данных по поручению Департамента, если обработка поручена или будет поручена такому лицу;

- иных сведениях, предусмотренных законодательством.

4.5. Сведения, установленные п. 4.4. настоящих Правил, предоставляются Департаментом субъекту персональных данных в доступной форме и не должны содержать персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

4.6. Основанием для предоставления сведений, предусмотренных п. 4.4. настоящих Правил, является обращение либо получение запроса субъекта персональных данных или его представителя.

4.7. Запрос должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие факт обработки персональных данных Департаментом;

- подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в письменной форме, форме электронного документа, подписанного электронной подписью либо в иной форме в соответствии с законодательством.

4.8. В случае если сведения, указанные в п. 4.4. настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, он вправе обратиться повторно в Департамент или направить ему повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством, иным нормативным правовым актом или договором, стороной которого является субъект персональных данных.

4.9. До истечения указанного срока запрашиваемые сведения предоставляются субъекту персональных данных повторно в случаях, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 4.7. настоящих Правил, должен содержать обоснование направления повторного запроса.

4.10. Департамент вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса в случае нарушения им требований п.п. 4.8, 4.9. настоящих Правил. Мотивированный отказ направляется заявителю в срок, не превышающий 7 рабочих дней со дня обращения субъекта персональных данных, и должен содержать ссылку на нормы действующего законодательства, являющиеся основанием для такого отказа.

Полномочия субъектов персональных данных и Департамента при обработке персональных данных

5.1. В целях обеспечения защиты своих персональных данных при их обработке Департаментом субъект персональных данных имеет право:

- на получение сведений о Департаменте и месте его нахождения, наличии у Департамента персональных данных субъекта, на ознакомление с ними и с иной информацией, касающейся обработки его персональных данных;

- на уточнение своих персональных данных, их блокирование или уничтожение, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- на обжалование действий или бездействия Департамента в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

- иные права, предусмотренные законодательством.

5.2. Департамент обязан безвозмездно предоставлять субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Департамент, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

О внесенных изменениях и предпринятых мерах Департамент обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

5.3. Департамент не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, прямо предусмотренных законодательством.

5.4. Не допускается принятие Департаментом решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

Обязанности уполномоченных должностных лиц по защите

персональных данных, порядок допуска к персональным данным

6.1. Уполномоченные должностные лица обязаны:

- знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил;

- хранить в тайне известные им персональные данные, информировать руководителя структурного подразделения о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

- соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

- обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.

6.2. При обработке персональными данными уполномоченным должностным лицам запрещается:

- использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

- передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта и т.п.) без использования сертифицированных средств криптографической защиты информации;

- снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные, без разрешения начальника Департамента (исполняющего обязанности начальника Департамента);

- выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из здания Департамента без разрешения начальника Департамента (исполняющего обязанности начальника Департамента).

6.3. Допуск уполномоченных должностных лиц к работе с персональными данными осуществляется после изучения ими требований нормативных документов Департамента по защите информации в части, их касающейся, и подписания обязательства о соблюдении конфиденциальности информации.

Ответственность уполномоченных должностных лиц

7.1. Ответственность за соблюдение требований законодательства при обработке персональных данных возлагается приказом на уполномоченных должностных лиц.

Ответственность за нарушение порядка допуска подчиненного уполномоченного должностного лица к персональным данным несет руководитель структурного подразделения Департамента, принявший решение о допуске.

7.2. Уполномоченные должностные лица, виновные в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством ответственность.

7.3. Текущий контроль за соблюдением требований законодательства при обработке персональных данных осуществляется путем проведения проверок соблюдения и исполнения руководителями и уполномоченными должностными лицами положений настоящих Правил.

7.4. Проверки выполнения требований законодательства при обработке персональных данных проводятся на основании приказов Департамента. Периодичность проведения проверок носит плановый и внеплановый характер.

По факту разглашения персональных данных создается комиссия в целях проведения служебного расследования. Состав комиссии утверждается приказом Департамента.

7.5. Комиссия устанавливает:

- отнесение разглашенных сведений к категории персональных данных;

- обстоятельства разглашения персональных данных;

- виновных в разглашении персональных данных;

- причины и условия, способствующие разглашению персональных данных.

7.6. Служебное расследование проводится в максимально короткий срок (не более одного месяца со дня обнаружения факта разглашения). Одновременно с работой комиссии принимаются меры по локализации последствий разглашения персональных данных.

7.7. По результатам работы комиссии составляется акт с указанием перечня разглашенных персональных данных, наименования утраченных документов (дел, изданий), выводов о допущении конкретными уполномоченными должностными лицами нарушений законодательства о защите персональных данных либо об отсутствии таковых.