Постановление Правительства Тульской области от 29.04.2014 № 213

ПРАВИТЕЛЬСТВО ТУЛЬСКОЙ ОБЛАСТИ

 

ПОСТАНОВЛЕНИЕ

 

от 29.04.2014 № 213

 

 

О мерах по реализации отдельных положений Федерального закона «О персональных данных»

 

 

В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», на основании статьи 34 Устава (Основного Закона) Тульской области правительство Тульской области

 

ПОСТАНОВЛЯЕТ:

 

1. Утвердить:

а) Правила обработки персональных данных в органах исполнительной власти и аппарате правительства Тульской области (приложение № 1);

б) Правила рассмотрения в органах исполнительной власти и аппарате правительства Тульской области запросов субъектов персональных данных или их представителей (приложение № 2);

в) Правила осуществления внутреннего контроля соответствия обработки персональных данных в органах исполнительной власти и аппарате правительства Тульской области требованиям к защите персональных данных, установленным законодательством Российской Федерации в сфере персональных данных (приложение № 3);

г) Правила работы с обезличенными данными в органах исполнительной власти и аппарате правительства Тульской области (приложение № 4);

д) Порядок доступа сотрудников органов исполнительной власти и аппарата правительства Тульской области в помещения, в которых ведется обработка персональных данных (приложение № 5);

е) Типовое обязательство государственного гражданского служащего (работника) органов исполнительной власти и аппарата правительства Тульской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (приложение № 6);

ж) Типовую форму согласия на обработку персональных данных государственных гражданских служащих (работников) органов исполнительной власти и аппарата правительства Тульской области, иных субъектов персональных данных (приложение № 7);

з) Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (приложение № 8);

и) Перечень должностных обязанностей, включаемых в должностной регламент (должностную инструкцию) сотрудника, ответственного за организацию обработки персональных данных в органе исполнительной власти (аппарате правительства) Тульской области (приложение № 9).

2. Управлению пресс-службы правительства Тульской области опубликовать постановление в средствах массовой информации.

3. Постановление вступает в силу со дня опубликования.

 

 

Первый заместитель губернатора Тульской области – председатель правительства Тульской области

Ю.М. Андрианов

 

 

 

 

	Приложение № 1 к постановлению правительства Тульской области
	от 29.04.2014	№ 213

 

ПРАВИЛА

обработки персональных данных в органах исполнительной власти и аппарате правительства Тульской области

 

I. Общие положения

 

1. Настоящие Правила обработки персональных данных в органах исполнительной власти и аппарате правительства Тульской области (далее – Правила, государственные органы) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

Основные понятия, используемые в настоящих Правилах, соответствуют основным понятиям, установленным Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

2. Обработка персональных данных в государственных органах осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации.

Обработка персональных данных в государственных органах с использованием средств автоматизации осуществляется в:

1) автоматизированной системе электронного документооборота органов исполнительной власти Тульской области и аппарата правительства Тульской области;

2) иных информационных системах персональных данных.

Особенности обработки персональных данных с использованием средств автоматизации, а также без использования таких средств устанавливаются федеральными законами и иными нормативными правовыми актами Российской Федерации.

3. Руководитель государственного органа:

1) утверждает перечень должностей в государственном органе, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

2) утверждает перечень должностей в государственном органе, замещение которых предусматривает проведение мероприятий по обезличиванию обрабатываемых персональных данных;

3) назначает ответственного за организацию обработки персональных данных в государственном органе;

4) утверждает перечень информационных систем персональных данных.

 

II. Процедуры, направленные на выявление

и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

 

4. Для выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных в государственных органах реализуются следующие процедуры:

1) реализация мер, направленных на обеспечение выполнения оператором персональных данных своих обязанностей при обработке персональных данных и прав субъекта персональных данных;

2) организация внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством в области персональных данных и актами органов исполнительной власти и аппарата правительства Тульской области;

3) оценка вреда, который может быть причинен субъектам персональных данных;

4) ознакомление сотрудников государственных органов, осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящими Правилами и (или) обучение сотрудников;

5) ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;

6) осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в области персональных данных;

7) недопущение обработки персональных данных, несовместимых с целями сбора персональных данных;

8) недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

9) соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки (обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки);

10) обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.

 

III. Содержание и порядок обработки персональных данных

в связи с реализацией служебных и трудовых отношений

 

5. Персональные данные государственных гражданских служащих, замещающих в государственных органах должности государственной гражданской службы Тульской области, лиц, замещающих в государственных органах должности, не отнесенные к должностям государственной гражданской службы Тульской области, лиц, замещающих должности руководителей подведомственных государственным органам государственных учреждений и унитарных предприятий Тульской области (далее – гражданские служащие, работники), а также граждан, претендующих на замещение указанных должностей (далее – претенденты), обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия гражданским служащим, работникам в прохождении государственной гражданской службы Тульской области, выполнении работы, в обучении и должностном росте, обеспечения личной безопасности гражданских служащих, работников и членов их семей, обеспечения сохранности принадлежащего им имущества и имущества государственных органов, учета результатов исполнения ими должностных обязанностей, обеспечения установленных законодательством Российской Федерации условий осуществления служебной деятельности и труда, гарантий и компенсаций, а также в целях формирования кадрового резерва на государственной гражданской службе Тульской области, резерва управленческих кадров Тульской области, противодействия коррупции.

6. В целях, указанных в пункте 5 настоящих Правил, обрабатываются следующие персональные данные гражданских служащих, работников, претендентов:

1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения, дата, место и причина изменения);

2) число, месяц, год рождения;

3) место рождения;

4) сведения о гражданстве (в том числе в случае изменения гражданства – предыдущие гражданства, иные гражданства, дата и причина изменения гражданства);

5) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

6) адрес места жительства (адрес регистрации, фактического проживания);

7) номер контактного телефона или сведения о других способах связи;

8) реквизиты страхового свидетельства государственного пенсионного страхования;

9) идентификационный номер налогоплательщика;

10) реквизиты страхового медицинского полиса обязательного медицинского страхования;

11) реквизиты свидетельства государственной регистрации актов гражданского состояния;

12) фотография;

13) семейное положение, состав семьи и сведения о близких родственниках (отце, матери, братьях, сестрах и детях), а также о муже (жене), в том числе бывших;

14) сведения о служебной (трудовой) деятельности;

15) сведения о воинском учете и реквизиты документов воинского учета;

16) сведения об образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, направление подготовки или специальность, квалификация по документу об образовании);

17) сведения о послевузовском профессиональном образовании (наименование и год окончания образовательной или научной организации), ученой степени, ученом звании (дата присвоения, номера дипломов, аттестатов);

18) сведения о владении иностранными языками, степень владения;

19) результаты обязательных предварительных (при поступлении на государственную гражданскую службу, работу, участии в конкурсе на включение в кадровый резерв) и периодических медицинских осмотров;

20) сведения, содержащиеся в служебном контракте (трудовом договоре), дополнительных соглашениях к служебному контракту (трудовому договору);

21) сведения о пребывании за границей (страна, год и цель пребывания), серия, номер заграничного паспорта, наименование органа, выдавшего его, дата выдачи;

22) сведения о присвоенном классном чине федеральной государственной гражданской службы, государственной гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы (кем и когда присвоен);

23) сведения о наличии или отсутствии судимости;

24) сведения об оформленных допусках к государственной тайне (форма, номер и дата);

25) государственные награды, иные награды и знаки отличия (кем и когда награжден);

26) сведения о профессиональной переподготовке и (или) повышении квалификации;

27) сведения о доходах, об имуществе и обязательствах имущественного характера;

28) номер расчетного счета;

29) номер банковской карты;

30) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 5 настоящих Правил.

7. Обработка персональных данных гражданских служащих, работников, претендентов осуществляется без согласия указанных лиц в рамках целей, определенных в пункте 5 настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и положениями Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации», Федерального закона от 25 декабря 2008 года № 273-ФЗ «О противодействии коррупции».

8. Обработка персональных данных гражданских служащих, работников, претендентов осуществляется при условии получения согласия указанных лиц в следующих случаях:

1) при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о государственной гражданской службе;

2) при трансграничной передаче персональных данных;

3) при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

9. В случаях, предусмотренных пунктом 8 настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

10. Обработка персональных данных гражданских служащих, работников, претендентов осуществляется уполномоченными сотрудниками государственных органов и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

11. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных гражданских служащих, работников, претендентов осуществляется путем:

1) получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы);

2) копирования оригиналов документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях);

4) формирования персональных данных в ходе кадровой работы;

5) внесения персональных данных в информационные системы государственных органов.

12. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от гражданских служащих, работников, претендентов.

13. В случае возникновения необходимости получения персональных данных гражданских служащих, работников, претендентов, у третьей стороны, уполномоченные сотрудники государственных органов обязаны известить их об этом, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

14. Запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего, работника персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

15. При сборе персональных данных уполномоченный сотрудник государственного органа, осуществляющий сбор (получение) персональных данных непосредственно от гражданских служащих, работников, претендентов обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

16. Персональные данные гражданских служащих, работников содержатся в кадровых документах (личные дела, личные карточки, трудовые книжки, распоряжения (приказы) по личному составу и другие документы, связанные с прохождением государственной гражданской службы Тульской области и выполнением работы) и бухгалтерских документах (расчетно-платежные ведомости и другие).

17. Персональные данные претендентов содержатся в документах, представляемых в целях трудоустройства.

 

IV. Условия и порядок обработки персональных данных

в связи с предоставлением государственных услуг

и исполнением государственных функций

 

18. В государственных органах обработка персональных данных физических лиц осуществляется в целях предоставления государственных услуг и исполнения государственных функций.

19. Категории субъектов, персональные данные которых обрабатываются государственными органами в связи с предоставлением государственных услуг и исполнением государственных функций, а также перечни обрабатываемых персональных данных, утверждаются руководителями соответствующих государственных органов.

20. Персональные данные, содержащиеся в обращениях юридических лиц, а также граждан, обратившихся в государственные органы лично или направивших индивидуальные (коллективные) письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений.

21. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Федеральным законом от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и иными нормативными правовыми актами, определяющими предоставление государственных услуг и исполнение государственных функций в установленной сфере ведения государственных органов.

22. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется государственными органами, предоставляющими соответствующие государственные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

23. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в государственные органы для получения государственной услуги или в целях исполнения государственной функции, осуществляется путем:

1) получения оригиналов необходимых документов (заявление);

2) заверения копий документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях).

24. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей), если иное не предусмотрено законодательством Российской Федерации.

25. При предоставлении государственной услуги или исполнении государственной функции государственным органом запрещается запрашивать персональные данные у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

26. При сборе персональных данных уполномоченное должностное лицо государственного органа, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги или в связи с исполнением государственной функции, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные, если иное не предусмотрено законодательством Российской Федерации.

27. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) государственными органами осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

 

V. Сроки обработки и хранения персональных данных

 

28. Сроки обработки и хранения персональных данных определяются в соответствии с законодательством Российской Федерации.

29. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

30. Сроком обработки персональных данных гражданских служащих, работников является срок замещения ими соответствующей должности. Срок хранения бумажных носителей персональных данных гражданских служащих, работников составляет 75 (семьдесят пять) лет.

31. Сроком обработки и хранения персональных данных претендентов, включенных в кадровый резерв на государственной гражданской службе Тульской области или резерв управленческих кадров Тульской области, является срок их нахождения в соответствующем резерве.

32. Сроком обработки персональных данных претендентов, не допущенных к участию в конкурсных процедурах, и претендентов, участвовавших в конкурсных процедурах, но не прошедших конкурсный отбор, является срок проведения конкурсных процедур. Персональные данные претендентов, не допущенных к участию в конкурсных процедурах, и претендентов, участвовавших в конкурсных процедурах, но не прошедших конкурсный отбор, хранятся на бумажных носителях в течение трех лет со дня завершения конкурса, если они не были возвращены по письменным заявлениям претендентов.

33. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в государственные органы в связи с получением государственных услуг и исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок предоставления государственных услуг или исполнения государственных функций.

34. Персональные данные, предоставляемые субъектами персональных данных на бумажном носителе в связи с предоставлением государственными органами государственных услуг и исполнением государственных функций, хранятся на бумажных носителях в соответствующем государственном органе, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с утвержденными положениями о соответствующих государственных органах.

35. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители государственных органов.

 

VI. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

 

36. Уничтожению подлежат персональные данные при достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

37. Уничтожение персональных данных может быть произведено любым способом, исключающим возможность восстановления материального носителя персональных данных, согласно акту об уничтожении персональных данных.

38. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

39. В случае отсутствия возможности уничтожения персональных данных государственный орган осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению государственного органа) и уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

 

 

 

 

	Приложение № 2 к постановлению правительства Тульской области
	от 29.04.2014	№ 213

 

ПРАВИЛА

рассмотрения в органах исполнительной власти и аппарате правительства Тульской области запросов субъектов персональных данных или их представителей

 

1. Настоящие Правила определяют порядок рассмотрения в органах исполнительной власти и аппарате правительства Тульской области (далее – государственные органы) запросов субъектов персональных данных или их представителей (далее – Правила).

2. Субъекты, персональные данные которых обрабатываются в государственных органах (далее – субъекты персональных данных), имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных в государственном органе;

2) правовые основания и цели обработки персональных данных;

3) применяемые в государственном органе способы обработки персональных данных;

4) наименование и место нахождения государственного органа, сведения о лицах (за исключением сотрудников государственного органа), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с государственным органом или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в сфере персональных данных;

8) информацию об осуществленной или предполагаемой трансграничной передаче данных;

9) наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению государственного органа, если обработка поручена или будет поручена такой организации или лицу;

10) иные сведения, предусмотренные законодательством Российской Федерации в сфере персональных данных.

3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

4. Субъекты персональных данных вправе требовать от государственного органа уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5. Сведения, указанные в пункте 2 настоящих Правил, предоставляются субъекту персональных данных или его представителю государственным органом при обращении либо при получении запроса субъекта персональных данных или его представителя. Полномочия представителя субъекта персональных данных должны быть подтверждены соответствующим документом посредством его предъявления при обращении в государственный орган, либо его направления вместе с запросом.

6. Направляемый в государственный орган запрос субъекта персональных данных или его представителя должен содержать:

1) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

2) сведения, подтверждающие участие субъекта персональных данных в правоотношениях с государственным органом (служебный контракт, трудовой договор, документ, подтверждающий прием документов на участие в конкурсных процедурах, оказание государственным органом государственной услуги или осуществление государственной функции и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в государственном органе;

3) подпись субъекта персональных данных или его представителя.

7. В случае несоответствия содержания запроса субъекта персональных данных требованиям, предусмотренным пунктом 6 настоящих Правил, он подлежит возврату заявителю без исполнения не позднее десяти рабочих дней с момента поступления с указанием причин такого возврата и разъяснением условий, при которых такой запрос может быть направлен повторно.

8. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9. При поступлении запроса субъекта персональных данных или его представителя в государственный орган он должен быть зарегистрирован в установленном порядке.

10. Сведения, указанные в пункте 2 настоящих Правил, должны быть предоставлены субъекту персональных данных государственным органом в течение тридцати календарных дней с даты получения запроса. Сведения предоставляются в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

11. В случае отказа в предоставлении сведений, указанных в пункте 2 настоящих Правил, государственный орган обязан дать субъекту персональных данных или его представителю в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати календарных дней с даты получения запроса субъекта персональных данных или его представителя.

12. Государственный орган обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, государственный орган обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, государственный орган обязан уничтожить такие персональные данные. Государственный орган обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

13. В случае, если сведения, указанные в пункте 2 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в государственный орган или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать календарных дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

14. Субъект персональных данных вправе обратиться повторно в государственный орган или направить повторный запрос в целях получения сведений, указанных в пункте 2 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 13 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 6 настоящих Правил, должен содержать обоснование направления повторного запроса.

15. Государственный орган вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 13 и 14 настоящих Правил. Такой отказ должен быть мотивированным. Уведомление об отказе в выполнении повторного запроса должно быть направлено субъекту персональных данных в срок, не превышающий тридцати календарных дней с даты получения повторного запроса.

 

 

 

 

	Приложение № 3 к постановлению правительства Тульской области
	от 29.04.2014	№ 213

 

ПРАВИЛА

осуществления внутреннего контроля соответствия обработки персональных данных в органах исполнительной власти и аппарате правительства Тульской области требованиям к защите персональных данных, установленным законодательством Российской Федерации в сфере персональных данных

 

1. Настоящие Правила определяют основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных в органах исполнительной власти и аппарате правительства Тульской области (далее – государственные органы) требованиям к защите персональных данных, установленных законодательством Российской Федерации в сфере персональных данных (далее – внутренний контроль).

2. В целях осуществления внутреннего контроля в государственных органах проводятся периодические проверки условий обработки персональных данных.

3. Проверка условий обработки персональных данных проводится на основании ежегодно утверждаемого заместителем губернатора Тульской области – руководителем аппарата правительства Тульской области – начальником главного управления государственной службы и кадров аппарата правительства Тульской области плана осуществления внутреннего контроля (плановые проверки) или на основании поступившей в правительство Тульской области информации о нарушениях в государственных органах правил обработки персональных данных (внеплановые проверки).

Проект плана осуществления внутреннего контроля разрабатывается комитетом Тульской области по информатизации и связи и представляется на утверждение до 20 декабря года, предшествующего году проведения плановых проверок.

4. Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях в государственных органах правил обработки персональных данных.

5. Проверка обработки персональных данных проводится комиссией, состав которой утверждается приказом заместителя губернатора Тульской области – руководителя аппарата правительства Тульской области – начальника главного управления государственной службы и кадров аппарата правительства Тульской области.

6. В проведении проверки условий обработки персональных данных не могут участвовать сотрудники государственных органов, прямо или косвенно заинтересованные в ее результатах.

7. Проверка условий обработки персональных данных осуществляется непосредственно на месте обработки персональных данных путем опроса либо при необходимости путем осмотра служебных мест сотрудников государственного органа, участвующих в процессе обработки персональных данных.

8. При проведении проверки условий обработки персональных данных должны быть полностью, объективно и всесторонне установлены:

1) порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;

2) порядок и условия применения средств защиты информации;

3) эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;

4) состояние учета носителей персональных данных;

5) соблюдение правил доступа к персональным данным;

6) соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;

7) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

8) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

9. Комиссия по проведению проверки условий обработки персональных данных имеет право:

1) запрашивать у сотрудников государственных органов информацию, необходимую для реализации полномочий;

2) вносить предложения сотрудникам государственных органов, осуществляющих обработку персональных данных, об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных;

3) в установленном порядке вносить предложения о:

совершенствовании правового, технического и организационного обеспечения безопасности персональных данных при их обработке;

приостановлении или прекращении обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации о персональных данных.

10. Члены комиссии по проведению проверки условий обработки персональных данных должны обеспечивать конфиденциальность сведений, ставших им известными в ходе проведения мероприятий внутреннего контроля.

11. Проверка условий обработки персональных данных должна быть завершена не позднее чем через тридцать календарных дней со дня принятия решения о ее проведении.

12. Не позднее чем через десять рабочих дней с момента завершения проверки условий обработки персональных данных председателем комиссии по проведению проверки условий обработки персональных данных в правительство Тульской области представляется письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.

 

 

 

 

	Приложение № 4 к постановлению правительства Тульской области
	от 29.04.2014	№ 213

 

ПРАВИЛА

работы с обезличенными данными в органах исполнительной власти и аппарате правительства Тульской области

 

1. Настоящие Правила определяют порядок работы с обезличенными данными в органах исполнительной власти и аппарате правительства Тульской области (далее – государственные органы).

2. Обезличивание персональных данных может быть проведено в статистических или иных исследовательских целях, в целях предупреждения ущерба от разглашения персональных данных, а также по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.

4. Обезличивание персональных данных возможно любыми незапрещенными способами.

5. В государственных органах могут быть использованы следующие способы обезличивания персональных данных при условии их дальнейшей обработки:

1) сокращение перечня обрабатываемых персональных данных;

2) замена части сведений идентификаторами;

3) понижение точности некоторых сведений в зависимости от цели обработки персональных данных (например, сведения о месте жительства могут состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);

4) деление сведений на части и обработка разных персональных данных в разных информационных системах;

5) иными способами, определяемыми государственными органами, исходя из целей обезличивания персональных данных.

6. Ответственными за проведение в государственных органах мероприятий по обезличиванию обрабатываемых персональных данных являются сотрудники государственных органов, замещающие должности, включенные в соответствующие перечни должностей, утверждаемые руководителями государственных органов.

7. Руководители структурных подразделений государственных органов, осуществляющие обработку персональных данных, вносят руководителям государственных органов предложения по обезличиванию персональных данных с указанием обоснования необходимости обезличивания персональных данных и способа обезличивания.

8. Решение о необходимости и способе обезличивания персональных данных принимают руководители государственных органов.

9. Сотрудники государственных органов, замещающие должности, замещение которых предусматривает осуществление обработки персональных данных, проводят непосредственное обезличивание выбранным способом.

10. Обезличенные персональные данные конфиденциальны и не подлежат разглашению.

11. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

12. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение парольной политики, антивирусной политики, правил работы со съемными носителями (если они используются), правил резервного копирования, порядка доступа в помещения, где расположены информационные системы персональных данных.

13. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение правил хранения бумажных носителей и правил доступа в помещения, где они хранятся.

 

 

 

 

	Приложение № 5 к постановлению правительства Тульской области
	от 29.04.2014	№ 213

 

ПОРЯДОК

доступа сотрудников органов исполнительной власти и аппарата правительства Тульской области в помещения, в которых ведется обработка персональных данных

 

1. Настоящий Порядок определяет правила доступа сотрудников органов исполнительной власти и аппарата правительства Тульской области (далее – государственные органы) в помещения, в которых ведется обработка персональных данных.

2. Доступ в административные здания, которые используются сотрудниками государственных органов, осуществляется в соответствии с режимом, исключающим возможность бесконтрольного входа (выхода) лиц, вноса (выноса) имущества.

3. Помещения, в которых ведется обработка персональных данных, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в помещение и визуального просмотра персональных данных посторонними лицами.

4. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.

5. Помещения, в которых ведется обработка персональных данных, запираются на ключ. В случае утраты ключей от помещений, в которых ведется обработка персональных данных, немедленно заменяется замок.

6. Вскрытие помещения, где ведется обработка персональных данных, и право самостоятельного входа в него производят сотрудники, уполномоченные руководителем государственного органа. Передавать ключи от помещений третьим лицам запрещается.

7. При обнаружении неисправности двери и запирающих устройств сотрудники государственных органов обязаны:

1) не вскрывая помещение, в котором ведется обработка персональных данных, доложить об обнаруженных неисправностях непосредственному руководителю;

2) в присутствии не менее двух иных сотрудников государственных органов, включая непосредственного руководителя, вскрыть помещение и осмотреть его;

3) составить акт о выявленных нарушениях и передать его руководителю государственного органа для организации служебного расследования.

8. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, а также проведение других работ в помещении, в котором ведется обработка персональных данных, осуществляются в присутствии сотрудников, уполномоченных руководителем государственного органа.

9. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной или охранной сигнализации, авариях в системах энерго-, водо- и теплоснабжения помещение, в котором ведется обработка персональных данных, вскрывается комиссией в составе не менее двух человек.

10. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на руководителей государственных органов.

 

 

 

 

	Приложение № 6 к постановлению правительства Тульской области
	от 29.04.2014	№213

 

ТИПОВОЕ ОБЯЗАТЕЛЬСТВО

государственного гражданского служащего (работника) органов исполнительной власти и аппарата правительства Тульской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей

Я, _________________________________________________________________,

^{(фамилия, имя, отчество)}

_________________________________________________________________

^{(должность)}

_________________________________________________________________

 

_________________________________________________________________

^{(документ, удостоверяющий личность)}

обязуюсь прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта (трудового договора).

В соответствии со статьей 7 Федерального закона «О персональных данных» я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией, и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставших известными мне в связи с исполнением должностных обязанностей.

Ответственность, предусмотренная Федеральным законом «О персональных данных» и другими федеральными законами, мне разъяснена.

 

«___» ____________ _____ г. _____________ _________________________

 ^{(подпись) (расшифровка подписи)}

_______________________________________

 

 

 

 

	Приложение № 7 к постановлению правительства Тульской области
	от 29.04.2014	№ 213

 

ТИПОВАЯ ФОРМА

согласия на обработку персональных данных

государственных гражданских служащих (работников) органов исполнительной власти и аппарата правительства Тульской области, иных субъектов персональных данных

 

г.

«

»

г.

Я,

,

^{(фамилия, имя, отчество)}

зарегистрированный(ная) по адресу
паспорт		,	выдан			,

 ^{(дата) (кем выдан)}

свободно, своей волей и в своем интересе даю согласие уполномоченным должностным лицам _____________________________________________
		,

^{(наименование государственного органа)}

зарегистрированного по адресу: _____________________________________

на обработку (любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) следующих персональных данных:^[1][1]

(перечень персональных данных, на обработку которых дается согласие)

Вышеуказанные персональные данные предоставляю для обработки в целях:

(цели обработки персональных данных)

Лицо, осуществляющее обработку персональных данных по поручению государственного органа:

(указывается наименование и адрес лица, если обработка персональных данных будет поручена такому лицу)

 

Я ознакомлен(а), что:

1) согласие на обработку персональных данных действует с даты подписания настоящего согласия в течение всего срока, которого требуют цели обработки персональных данных;

2) хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) согласие на обработку персональных данных может быть отозвано на основании письменного заявления в произвольной форме;

4) в случае отзыва согласия на обработку персональных данных, их обработка может быть продолжена при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных»;

5) персональные данные, предоставляемые в отношении третьих лиц, будут обрабатываться только в целях осуществления и выполнения возложенных законодательством Российской Федерации на государственный орган функций, полномочий и обязанностей.

Я подтверждаю, что предоставленные мною персональные данные являются полными, актуальными и достоверными.

Я обязуюсь своевременно извещать об изменении предоставленных персональных данных.

 

«___» ____________ _____ г. _____________ _________________________

 ^{(подпись) (расшифровка подписи)}

 

 

 

 

	Приложение № 8 к постановлению правительства Тульской области
	от 29.04.2014	№ 213

 

ТИПОВАЯ ФОРМА

разъяснения субъекту персональных данных юридических

последствий отказа предоставить свои персональные данные

 

В соответствии с требованиями Федерального закона «О персональных данных» уведомляем Вас, что обязанность предоставления Вами персональных данных установлена:

_________________________________________________________________

^{(реквизиты соответствующего Федерального закона и принятых в соответствии с ним нормативных правовых актов)}

____________________________________________________________________________________________________________________________________.

В случае отказа Вами предоставить свои персональные данные __________________________________________________________________

^{(наименование государственного органа)}

не сможет на законных основаниях осуществить такую обработку, что приведет к следующим для Вас юридическим последствиям:

_________________________________________________________________

^{(перечисляются юридические последствия для субъекта персональных данных, то есть случаи возникновения, изменения или}

_________________________________________________________________

^{прекращения личных либо имущественных прав гражданина или случаи, иным образом затрагивающие его права,}

__________________________________________________________________

^{свободы и законные интересы)}

 

_____________________ (должность сотрудника _____________________ государственного органа)

_________________ (подпись)

____________________ (Ф.И.О. сотрудника _____________________  государственного органа)

 

Мне, _______________________________________________________________

^{(Ф.И.О. субъекта персональных данных)}

разъяснены юридические последствия отказа предоставить свои персональные данные.

 

«___» ____________ _____ г. _____________ _________________________

 ^{(подпись) (расшифровка подписи)}

 

 

 

 

	Приложение № 9 к постановлению правительства Тульской области
	от 29.04.2014	№ 213

 

ПЕРЕЧЕНЬ

должностных обязанностей, включаемых в должностной регламент (должностную инструкцию) сотрудника, ответственного за организацию обработки персональных данных в органе исполнительной власти (аппарате правительства) Тульской области

 

В должностные обязанности сотрудника, ответственного за организацию обработки персональных данных в органе исполнительной власти (аппарате правительства) Тульской области (далее – государственный орган), входит:

организация в государственном органе работ по принятию организационных и технических мер, необходимых для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

осуществление внутреннего контроля за соблюдением в государственном органе требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных, планового контроля работоспособности технических средств защиты информации, охраны объекта, средств защиты информации от несанкционированного доступа, а также организация работ, связанных с восстановлением работоспособности средств защиты информации;

доведение до сведения сотрудников государственного органа положений законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

организация приема и обработки обращений и запросов субъектов персональных данных или их представителей, а также осуществление контроля за приемом и обработкой таких обращений и запросов;

информирование руководителя государственного органа о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним.