О работе с персональными данными



КОМИТЕТ ПО ТУРИЗМУ САРАТОВСКОЙ ОБЛАСТИ

ПРИКАЗ

от 15 мая 2018 года № 12

О РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказываю:

ПРИКАЗЫВАЮ:

1. Утвердить:

Правила обработки персональных данных в комитете по туризму Саратовской области согласно приложению № 1.

Правила рассмотрения запросов субъектов персональных данных или их представителей в комитете по туризму Саратовской области согласно приложению № 2.

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» в комитете по туризму Саратовской области согласно приложению № 3.

Правила работы с обезличенными данными согласно приложению № 4.

Перечень персональных данных, обрабатываемых в комитете по туризму Саратовской области в связи с реализацией трудовых отношений, а также в связи с осуществлением государственных полномочий в комитете по туризму Саратовской области, согласно приложению № 5.

Перечень должностей государственных гражданских служащих комитета по туризму Саратовской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, согласно приложению № 6 к настоящему приказу;

Должностную инструкцию ответственного за организацию обработки персональных данных в комитете по туризму Саратовской области, согласно приложению № 7.

Типовое обязательство служащего государственного органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, согласно приложению № 8.

Типовую форму согласия на обработку персональных данных государственных гражданских служащих комитета по туризму Саратовской области, иных субъектов персональных данных согласно приложению № 9.

Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению № 10.

Порядок доступа государственных гражданских служащих комитета по туризму Саратовской области в помещения, в которых ведется обработка персональных данных, согласно приложению № 11.

2. Организационно-правовому отделу комитета обеспечить направление копии настоящего приказа:

в Управление Министерства юстиции Российской Федерации по Саратовской области - в семидневный срок после его подписания;

в прокуратуру Саратовской области - в течение трех дней со дня его подписания.

в министерство информации и печати Саратовской области - не позднее одного рабочего дня после его принятия а также размещение настоящего приказа на официальном сайте комитета.

3. Контроль за исполнением настоящего приказа оставляю за собой.

Председатель комитета

В.В. Бородянская

Приложение № 1 к приказу

комитета по туризму области

от 15 мая 2018 года № 12

от 2013 года №

ПРАВИЛА

обработки персональных данных

в комитете по туризму Саратовской области

1. Настоящие Правила обработки персональных данных в комитете по туризму Саратовской области (далее – оператор), устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, разработаны в соответствии с Федеральным законом «О персональных данных», Федеральным законом «О порядке рассмотрения обращения граждан Российской Федерации», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными нормативными правовыми актами Российской Федерации, регулирующими отношения в данной сфере деятельности (далее – Правила).

2. Правила устанавливают единый порядок действий оператора, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов.

3. Целью Правил является обеспечение защиты прав и свобод при обработке персональных данных граждан, обратившихся к оператору, персональных данных государственных гражданских служащих и работников оператора, граждан, претендующих на замещение вакантных должностей гражданской службы обрабатываются в целях обеспечения кадровой работы, установление ответственности должностных лиц оператора за невыполнение норм, регулирующих обработку и защиту персональных данных.

4. В Правилах используются основные понятия, установленные статьей 3 Федерального закона «О персональных данных».

5. Под субъектами персональных данных в настоящих Правилах понимаются служащие комитета по туризму области, граждане, включенные в кадровый резерв, граждане, не допущенные к участию в конкурсах, граждане, участвовавшие в конкурсах, но не прошедших конкурсный отбор, физические лица, направившие в комитет по туризму области письменное предложение, заявление или жалобу в соответствии с Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации», а также категории граждан, обратившиеся в государственный орган для предоставления государственной услуги, оказываемой комитетом по туризму области.

6. Должностными лицами оператора могут обрабатываться персональные данные, указанные субъектом персональных данных в соответствии с перечнем персональных данных, обрабатываемых оператором.

7. Непосредственно обработку персональных данных осуществляют Должностные лица оператора, которые в соответствии с резолюцией руководителей структурных подразделений оператора осуществляют рассмотрение поступивших обращений граждан.

8. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Персональные данные могут включать в себя:

фамилия, имя, отчество;

сведения о смене фамилии, имени, отчества;

пол;

фотографическое изображение работника;

табельный номер работника;

число, месяц, год рождения;

место рождения;

гражданство;

паспортные данные;

адрес места жительства по паспорту;

адрес места жительства фактический;

номера контактных телефонов;

адрес электронной почты;

индивидуальный номер налогоплательщика;

страховой номер индивидуального лицевого счета застрахованного лица;

характеристика работника;

сведения об испытательном сроке работника;

сведения о воинском учете и реквизиты документов воинского учета;

сведения о владении иностранными языками, уровень владения;

сведения о повышении квалификации и профессиональной переподготовке, наличии специальных знаний;

сведения о профессиональной пригодности;

сведения об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;

сведения о наградах, поощрениях, почетных званиях;

сведения о льготах;

сведения о месте работы (должность, структурное подразделение, категория квалификации, период работы, стаж, сведения об аттестации);

сведения об ученой степени;

сведения о классном чине гражданской службы Российской Федерации (дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде гражданской службы (квалификационном разряде или классном чине муниципальной службы);

информация о трудовой деятельности;

данные о предыдущих местах работы;

семейное положение;

сведения о близких родственниках (фамилия, имя, отчество, степень родства, год рождения, место работы, должность, сведения о доходах, номер контактного телефона);

сведения об образовании;

сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

сведения о командировках;

сведения о временной нетрудоспособности;

сведения о наличии или отсутствии судимости;

сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;

сведения о лицевом счете в банке;

сведения о выданных банковских картах;

сведения о выплачиваемых алиментах;

сведения об исправительных работах;

основание прекращения трудового договора (увольнения);

иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3 настоящих Примерных правил.

Информация о Персональных данных может содержаться:

на бумажных носителях;

на электронных носителях;

в информационно-телекоммуникационных сетях и информационной системе «Персональные данные».

9. Оператор самостоятельно устанавливает способы обработки персональных данных в зависимости от целей такой обработки и материально-технических возможностей.

10. Объем обрабатываемых персональных данных субъектов персональных данных определяется Должностными лицами оператора самостоятельно исходя из решаемых задач и полномочий в соответствии с законодательством и нормативными правовыми актами, регулирующими его деятельность.

11. Персональные данные работников оператора могут содержаться в следующих документах (копиях указанных документов):

приказы;

служебные записки;

заявления, обращения работников;

доверенности;

служебные задания для направления в командировку;

командировочные удостоверения;

авансовые отчеты;

графики отпусков;

табели учета рабочего времени;

листки нетрудоспособности;

справки о сумме заработной платы, иных выплат и вознаграждений, на которую были начислены страховые взносы на обязательное социальное страхование на случай временной нетрудоспособности и в связи с материнством, за два календарных года, предшествующих году прекращения работы (службы, иной деятельности) или году обращения за справкой, и текущий календарный год;

справки о доходах физических лиц;

служебные контракты;

договоры о временном трудоустройстве;

личные карточки работников;

формы Т1-Т11 а;

фотографические изображения;

копии дипломов, сертификатов, удостоверений, аттестатов, нагрудные знаки;

документы об аттестации (переаттестации) работников;

копии свидетельств о повышении квалификации;

копии свидетельств о постановке на учет физического лица в налоговом органе на территории Российской Федерации;

копии страховых свидетельств государственного пенсионного страхования;

копии паспортов работников;

копии свидетельств о заключении/расторжении брака;

копии свидетельств о рождении детей;

личный листок по учету кадров;

направление для участия во временном трудоустройстве;

трудовые книжки;

журнал выдачи трудовых книжек;

согласие на обработку персональных данных;

лист ознакомления;

обязательство о неразглашении;

справки о прохождении медосмотра;

исполнительные листы (копии), выданные судами общей юрисдикции;

судебные приказы (копии);

сведения о гражданине, подлежащем воинскому учету, и принятии его на работу (увольнении его с работы);

акты (копии) органов, осуществляющих контрольные функции по взысканию денежных средств;

судебные акты (копии), акты других органов и должностных лиц по делам о правонарушениях;

постановления (копии) судебного пристава-исполнителя;

копии приговоров (определений, постановлений) суда;

грамоты, благодарности;

документы о конкурсах на должности;

документы о награждении;

журналы учета входящих/исходящих документов;

журналы учета служебных командировок;

другие документы, содержащие персональные данные.

12. Персональные данные других лиц могут содержаться в следующих документах (копиях указанных документов):

платежные документы;

документы, подтверждающие правомочность законного представителя физического лица;

исполнительные листы (копии), выданные судами общей юрисдикции;

копии судебных приказов;

заявления, обращения законных представителей физических лиц;

копии паспортов;

копии приказов о назначении на должность;

доверенности;

другие документы, содержащие персональные данные.

13. Правовым основанием обработки персональных данных работников и других лиц являются требования:

Конституции Российской Федерации;

Трудового кодекса Российской Федерации;

Гражданского кодекса Российской Федерации;

Гражданско-правового кодекса Российской Федерации;

Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных»;

Федерального закона от 27 июля 2004 г. N 79-ФЗ «О государственной гражданской службе Российской Федерации»;

Федерального закона от 27 мая 2003 г. N 58-ФЗ «О системе государственной службы Российской Федерации»;

Федерального закона от 26 декабря 2008 г. N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора) и муниципального контроля»;

Федерального закона от 2 мая 2006 г. N 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

других нормативных и правовых актов Российской Федерации.

14. Субъект персональных данных, указывая в обращении свои персональные данные, принимает решение о предоставлении своих персональных данных и тем самым дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

15. Должностные лица оператора, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или его представителя, если иное не предусмотрено федеральным законом.

16. Оператор может совершать следующие действия (операции) или совокупность действий, (операций) с персональными данными субъектов: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

17. Оператор может использовать следующие способы обработки персональных данных:

 с помощью средств вычислительной техники
(автоматизированная обработка);

 без использования средств вычислительной техники
(неавтоматизированная обработка).

18. Оператор получает персональные данные субъектов персональных данных:

- непосредственно от самих субъектов персональных данных;

- от третьих лиц, в предусмотренных законом случаях.

19. При обработке персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, оператору запрещается запрашивать у субъектов персональных данных и третьих лиц персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

20. При сборе персональных данных оператор предоставляет субъекту персональных данных по его просьбе следующую информацию:

подтверждение факта обработки персональных данных;

правовые основания и цели обработки персональных данных;

цели и применяемые способы обработки персональных данных;

наименование и место нахождения оператора (за исключением работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные федеральными законами РФ.

21. Оператор вправе ограничить право субъекта персональных данных на доступ к его персональным данным в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

22. Если персональные данные получены не от субъекта персональных данных, Оператор до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:

наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;

цель обработки персональных данных и ее правовое основание;

предполагаемые пользователи персональных данных;

права субъекта персональных данных;

источник получения персональных данных.

23. Оператор освобождается от обязанности предоставить субъекту персональных данных указанные сведения в случаях, если:

субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором;

персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника.

24. Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

25. Трансграничная передача обрабатываемых персональных данных работников оператора не осуществляется.

26. Общий срок обработки персональных данных определяется периодом времени, в течение которого оператор осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки, в том числе хранение персональных данных.

27. Обработка персональных данных начинается с момента их получения оператором и заканчивается:

 по достижении конкретных, заранее определенных и законных
целей;

 по факту утраты необходимости в достижении заранее заявленных целей обработки.

28. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

29. Сроки хранения персональных данных определяются в соответствии с Приказом Минкультуры РФ от 25.08.2010 №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, требований действующих нормативных и правовых актов Российской Федерации и локальных документов Оператора.

30. С учетом положений законодательства Российской Федерации и Саратовской области устанавливаются следующие сроки обработки и хранения персональных данных государственных служащих:

30.1. Персональные данные, содержащиеся в приказах по личному составу государственных служащих комитета по туризму области (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в организационно-правовом отделе комитета по туризму области в течение двух лет с последующим формированием и передачей указанных документов в архив комитета или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.

30.2. Персональные данные, содержащиеся в личных делах государственных служащих комитета по туризму области и руководителей подведомственных организаций, а также личных карточках государственных служащих, хранятся в организационно-правовом отделе комитета по туризму области в течение десяти лет с последующим формированием и передачей указанных документов в архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.

30.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи государственных служащих комитета по туризму области, подлежат хранению в течение двух лет в организационно-правовом отделе с последующим формированием и передачей указанных документов в архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.

30.4. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях государственных служащих, подлежат хранению в организационно-правовом отделе комитета по туризму области в течение пяти лет с последующим уничтожением.

30.5. Персональные данные, содержащиеся в документах претендентов на замещение вакантной должности государственной службы в комитете по туризму области, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в кадровом подразделении в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.

30.6. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в комитет по туризму области в связи с получением государственных услуг и исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.

30.7. Персональные данные граждан, обратившихся в комитет по туризму области лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.

31. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

32. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.

33. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений комитета по туризму области.

34. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии соответствующих оснований, предусмотренных действующим законодательством.

35. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Согласие субъекта на обработку его персональных данных должно включать в себя, в частности:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

- наименование и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва;

- подпись субъекта персональных данных.

36. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

37. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия соответствующих оснований, предусмотренных действующим законодательством в области персональных данных.

38. Доступ к персональным данным работников оператора имеют должностные лица оператора, непосредственно использующие эти данные в рамках выполнения своих должностных обязанностей.

Доступ к персональным данным других лиц имеют должностные лица оператора, непосредственно использующие их в рамках выполнения своих должностных обязанностей.

Доступ к персональным данным других лиц и третьих лиц разрешается только при наличии официального заявления запросившего их лица с указанием перечня необходимой информации, целей, для которых она будет использована, с согласия субъекта персональных данных, персональные данные которого затребованы.

Сообщение сведений о персональных данных субъекта персональных данных его родственникам, членам семьи, иным близким ему людям также производится оператором только при наличии письменного согласия субъекта персональных данных.

При передаче персональных данных другим лицам, третьим лицам, в том числе представителям субъектов персональных данных, в порядке, установленном нормативными правовыми актами РФ и настоящими Правилами, передаваемая информация ограничивается только теми персональными данными, которые необходимы для выполнения другими лицами и третьими лицами их функций.

Субъект персональных данных, о котором запрашиваются сведения, относящиеся к персональным данным, должен быть уведомлен о передаче его персональных данных другим лицам и третьим лицам.

39. Запрещается передача персональных данных, в том числе их распространение, предоставление и доступ к ним в коммерческих целях без согласия субъекта персональных данных, а также иное использование персональных данных в неслужебных целях.

40. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

41. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

42. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора.

43. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональных данных или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также - указанный орган.

44. В случае достижения цели обработки персональных данных оператор прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожает персональных данных или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных, либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством в области персональных данных.

Приложение № 2 к приказу

комитета по туризму области

от _______________ г. № ___

ПРАВИЛА

рассмотрения запросов субъектов персональных данных

или их представителей

1. Настоящими Правилами определяется порядок рассмотрения запросов субъектов персональных данных или их представителей в комитете по туризму Саратовской области (далее – Запросы).

2. В случае обращения субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных оператор обязан:

1) сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также о возможности ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя;

2) в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных дать в письменной форме мотивированный ответ, содержащий ссылку на норму Федерального закона № 152-ФЗ, являющуюся основанием для такого отказа в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя, либо с даты получения запроса субъекта персональных данных или его представителя;

3) предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;

4) в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональных данных являются неполными, неточными или неактуальными, внести в них необходимые изменения;

5) в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональных данных являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожить такие персональных данных;

6) уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональных данных этого субъекта были переданы.

3. В случае получения запроса уполномоченного органа по защите прав субъектов персональных данных оператор обязан направить необходимую информацию в течение 30 дней с даты получения такого запроса.

4. Субъект персональных данных имеет право на получение следующих сведений:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

5. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6. Сведения о персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональных данных, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

7. Персональные данные предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, з исключением              предусмотренных              уголовно - процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

9. Запросы субъектов персональных данных или их представителей регистрируются в день их поступления в журнале учета запросов субъектов персональных данных или их представителей по форме согласно приложению к настоящим Правилам.

10. Журнал учета запросов субъектов персональных данных или их представителей ведется в структурных подразделениях комитета по туризму Саратовской области (далее – Комитет), осуществляющих обработку персональных данных.

11. На запросе проставляется входящий номер и дата регистрации. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской.

12. Прошедшие регистрацию Запросы в тот же день докладываются руководителю Комитета либо лицу, его заменяющему, который определяет порядок и сроки их рассмотрения, дает по каждому из них письменное указание исполнителям.

13. Руководитель Комитета и должностное лицо, ответственное за организацию обработки персональных данных в Комитете, при рассмотрении и разрешении Запросов обязаны:

внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников на места для проверки фактов, изложенных в Запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;

принять по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;

обеспечить информирование в письменной форме заявителей о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения Запросов – разъяснение порядка обжалования принятых решений.

14. Должностное лицо, ответственное за организацию обработки персональных данных в Комитете, обязано обеспечить сообщение субъекту персональных данных или его представителю информации о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставление возможности ознакомления с этими персональными данными в течение тридцати календарных дней с даты получения запроса субъекта персональных данных или его представителя.

15. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при получении запроса субъекта персональных данных или его представителя должностное лицо, ответственное за организацию обработки персональных данных в Комитете, обязано обеспечить подготовку в письменной форме мотивированного ответа, содержащего ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

16. Комитет предоставляет безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.

17. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, должностное лицо, ответственное за организацию обработки персональных данных в Комитете, обязано проконтролировать внесение в персональные данные необходимых изменений должностными лицами Комитета, указанными в соответствующем Перечне должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.

18. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, должностное лицо, ответственное за организацию обработки персональных данных в Комитете, обязано проконтролировать уничтожение таких персональных данных должностными лицами Комитета, указанными в соответствующем Перечне должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.

19. Должностное лицо, ответственное за организацию обработки персональных данных в Комитете обязано обеспечить уведомление субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

20. В случае выявления неправомерной обработки персональных данных по запросу субъекта персональных данных или его представителя, должностное лицо, ответственное за организацию обработки персональных данных в Комитете, обязано проконтролировать блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента получения указанного запроса на период проверки.

21. В случае выявления факта неточности персональных данных по запросу субъекта персональных данных или его представителя, должностное лицо, ответственное за организацию обработки персональных данных в Комитете, обязано проконтролировать блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

22. В случае подтверждения факта неточности персональных данных должностное лицо, ответственное за организацию обработки персональных данных в Комитете, на основании сведений, представленных субъектом персональных данных или его представителем, или иных необходимых документов, обязано проконтролировать уточнение персональных данных Должностными лицами комитета, указанными в соответствующем Перечне должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, в течение семи рабочих дней со дня представления таких сведений и снятие блокирования персональных данных.

23. В случае выявления неправомерной обработки персональных данных должностное лицо, ответственное за организацию обработки персональных данных в Комитете, в срок, не превышающий трех рабочих дней с даты этого выявления, обязано проконтролировать прекращение неправомерной обработки персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, то в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, должностное лицо, ответственное за организацию обработки персональных данных в Комитете, обязано проконтролировать уничтожение таких персональных данных или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Должностное лицо комитета обязано уведомить субъекта персональных данных или его представителя.

24. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.

25. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения должностным лицом Комитета действия (бездействия), содержащего признаки административного правонарушения или состава преступления, информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются руководителю Комитета.

26. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.

27. Руководитель Комитета осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов.

28. Руководитель Комитета осуществляет контроль за работой с запросами и организацией их приема лично. На контроль берутся все запросы.

29. При осуществлении контроля обращается внимание на сроки исполнения поручений по запросам и полноту рассмотрения поставленных вопросов, объективность проверки фактов, изложенных в запросах, законность и обоснованность принятых по ним решений, своевременность их исполнения и направления ответов заявителям.

30. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц Комитета ответственность в соответствии с законодательством Российской Федерации.

Приложение к Правилам

рассмотрения запросов субъектов

персональных данных или

их представителей

ЖУРНАЛ

УЧЕТА ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ

№ п/п

Ф.И.О. субъекта персональных данных или его представителя

Вид и реквизиты документа, удостоверяющего личность субъекта персональных данных или его представителя, реквизиты доверенности представителя субъекта персональных данных

Дата обращения

Результат исполнения запроса (ознакомление, предоставление документов (указать их реквизиты), отказ)

1

2

3

4

5

Приложение № 3 к приказу

комитета по туризму области

от 15 мая 2018 года № 12

ПРАВИЛА

осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» в комитете по туризму Саратовской области

1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, разработаны с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» в комитете по туризму Саратовской области (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона «О персональных данных».

2. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в комитете по туризму области (далее – Комитете) организовывается проведение периодических проверок условий обработки персональных данных.

Проверки проводятся ответственным за организацию обработки персональных данных в Комитете.

Общее руководство по выполнению мероприятий, связанных с организацией и проведением проверок, возлагается на ответственного за организацию обработки персональных данных.

3. В проведении проверки не может участвовать служащий Комитета, прямо или косвенно заинтересованный в ее результатах.

Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям (плановые проверки) или на основании поступившего письменного заявления субъекта персональных данных о нарушениях правил обработки персональных данных (внеплановые проверки).

4. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления заявления субъекта персональных данных о нарушениях правил обработки персональных данных.

5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:

порядок и условия применения организационных мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных;

эффективность принимаемых мер по обеспечению безопасности персональных данных;

соблюдение правил доступа к персональным данным;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

осуществление мероприятий по обеспечению целостности персональных данных.

6. Ответственные за организацию обработки персональных данных Комитета при проведении проверки условий обработки персональных данных имеют право:

запрашивать у сотрудников Комитета информацию, необходимую для реализации полномочий;

требовать от должностных лиц Комитета, непосредственно осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

вносить руководителю Комитета предложения по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

вносить руководителю Комитета предложения о совершенствовании правового и организационного регулирования обеспечения безопасности персональных данных при их обработке, а также предложения о привлечении к дисциплинарной ответственности должностных лиц Комитета, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

7. Ответственные за организацию обработки персональных данных в Комитете при проведении проверки условий обработки персональных данных должны обеспечивать конфиденциальность ставших им известными в ходе проведения мероприятий внутреннего контроля персональных данных.

8. Проверка условий обработки персональных данных должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения об ее проведении.

9. По результатам проведенной проверки условий обработки персональных данных ответственные за организацию обработки персональных данных в Комитете представляют руководителю Комитета письменное заключение о результатах проведенной проверки с указанием мер, необходимых для устранения выявленных нарушений.

Приложение № 4 к приказу

комитета по туризму области

от 15 мая 2018 года № 12

ПРАВИЛА

РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ

1. Настоящие Примерные правила работы с обезличенными данными определяют порядок работы с обезличенными данными в комитете по туризму Саратовской области (далее - Комитет).

2. В соответствии с Федеральным законом «О персональных данных» обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Обезличивание персональных данных возможно любыми незапрещенными способами.

5. В Комитете могут быть использованы следующие способы обезличивания персональных данных при условии их дальнейшей обработки:

1) сокращение перечня обрабатываемых персональных данных;

2) замена части сведений идентификаторами;

3) понижение точности некоторых сведений в зависимости от цели обработки персональных данных (например, наименование места жительства может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);

4) деление сведений на части и обработка разных персональных данных в разных информационных системах;

5) иными способами, исходя из целей обезличивания персональных данных.

6. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных сотрудников.

7. Руководители структурных подразделений Комитета, в которых непосредственно осуществляется обработка персональных данных сотрудников, вносят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.

8. Комитет принимает решение о необходимости обезличивания персональных данных сотрудников.

9. Перечень должностей государственных гражданских служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных утверждается приказом председателя Комитета.

10. Служащие Комитета, обслуживающие базы данных с персональными данными сотрудников, совместно с ответственным за организацию обработки персональных данных осуществляют непосредственное обезличивание выбранным способом. По результатам работ составляется соответствующий акт.

11. Ответственность за обезличивание персональных данных несут лица, замещающие должности, вошедшие в перечень должностей служащих комитета, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.

12. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.

13. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

14. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

правил и норм парольной и антивирусной защиты компьютеров;

правил работы со съемными носителями (если они используются);

правил резервного копирования;

правил доступа в помещения, где расположены элементы информационных систем.

15. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

правил хранения бумажных носителей;

правил доступа к ним и в помещения, где они хранятся.

Приложение № 5 к приказу

комитета по туризму области

от 15 мая 2018 года № 12

ПЕРЕЧЕНЬ

персональных данных, обрабатываемых в комитете

по туризму Саратовской области в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных полномочий

N п/п

Содержание сведений

Срок хранения, условия прекращения обработки

1

2

3

1

Персональные данные служащих и работников:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества - в случае их изменения);

пол;
число, месяц, год рождения;
место рождения;
гражданство (в том числе предыдущие гражданства, иные гражданства);
документ, удостоверяющий личность (серия, номер, когда и кем выдан);
адрес места жительства (адрес регистрации, фактического проживания);
номера контактных телефонов или сведения о других способах связи;

семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);

сведения о воинском учете и реквизиты документов воинского учета;

сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

сведения об уровне специальных знаний (работа на компьютере, знание иностранного языка);
сведения о профессиональной переподготовке, повышении квалификации, стажировке;
сведения о трудовой деятельности, общем трудовом стаже и стаже государственной гражданской службы;
сведения о замещаемой должности;
сведения о классных чинах, военных и специальных званиях;
сведения о состоянии здоровья и его соответствии выполняемой работе, наличии группы инвалидности и степени ограничения способности к трудовой деятельности;
сведения о прохождении аттестации и сдаче квалификационного экзамена;
сведения о награждении (поощрении);
сведения о взысканиях;
реквизиты идентификационного номера налогоплательщика;
реквизиты страхового номера индивидуального лицевого счета в Пенсионном фонде Российской Федерации (СНИЛС);

реквизиты полиса обязательного медицинского страхования;
сведения о доходах, имуществе и обязательствах имущественного характера государственного гражданского служащего и членов его семьи;

сведения о социальных льготах;
номера банковских счетов;

сведения о пребывании за границей;

информация о наличии или отсутствии судимости;

информация об оформленных допусках к государственной тайне;

государственные награды, иные награды и знаки отличия;

фото

75 лет

2

Персональные данные граждан, включенных в кадровый резерв, граждан, не допущенных к участию в конкурсах, и граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор:

фамилия, имя, отчество информация о смене фамилии, имени, отчества;

пол, дата рождения;

место рождения;

гражданство;

документ, удостоверяющий личность (серия, номер, когда и кем выдан);

место жительства и дата регистрации по месту жительства;

номера контактных телефонов;

семейное положение;
состав семьи;
сведения о наличии детей, их возрасте, месте учебы (работы);
отношение к воинской обязанности, воинское звание, состав рода войск, военный билет, приписное свидетельство, сведения о постановке на воинский учет и прохождении службы в Вооруженных Силах;
сведения о получении профессионального и дополнительного образования (наименование образовательного учреждения, специальность и квалификация по документу об образовании;
документ об образовании, квалификации, наименование документа об образовании, его серия и номер, дата выдачи);
сведения об уровне специальных знаний (работа на компьютере, знание иностранного языка);
сведения о профессиональной переподготовке, повышении квалификации, стажировке;
сведения о трудовой деятельности, общем трудовом стаже и стаже государственной гражданской службы;
сведения о замещаемой должности;
сведения о классных чинах, военных и специальных званиях;

сведения о состоянии здоровья и его соответствии выполняемой работе, наличии группы инвалидности и степени ограничения способности к трудовой деятельности;
сведения о награждении (поощрении);

реквизиты идентификационного номера налогоплательщика;
реквизиты страхового номера индивидуального лицевого счета в Пенсионном фонде Российской Федерации (СНИЛС);
фото

на период действия кадрового резерва

(3 года)

или в течение трех лет со дня завершения конкурса, если не возвращены по письменному заявлению граждан

3

Персональные данные граждан, обрабатываемые в связи с рассмотрением обращений граждан:

Фамилия, имя, отчество;
адрес места жительства;
иные персональные данные, содержащиеся в обращениях граждан

5 лет

Приложение № 6 к приказу

комитета по туризму области

от 15 мая 2018 года № 12

ПЕРЕЧЕНЬ

должностей государственных гражданских служащих комитета по туризму Саратовской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

1. Начальник организационно-правового отдела;

2. Консультант организационно-правового отдела.

Приложение № 7 к приказу

комитета по туризму области

от 15 мая 2018 года № 12

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ

ответственного за организацию обработки персональных данных

в комитете по туризму Саратовской области

1. Должностная инструкция ответственного за организацию обработки персональных данных в комитете по туризму Саратовской области (далее – Комитет) разработана в соответствии с Федеральным законом «О персональных данных», Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», другими нормативными правовыми актами.

2. Должностная инструкция ответственного за организацию обработки персональных данных в Комитете определяет ответственность, обязанности и права лица, назначенного ответственным за организацию обработки персональных данных в Комитете.

3. Ответственный за организацию обработки персональных данных в Комитете отвечает за осуществление внутреннего контроля за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, доведению до сведения служащих соответствующих структурных подразделений Комитета положений законодательства Российской Федерации и Саратовской области о персональных данных, правовых актов Комитета по вопросам обработки персональных данных, требований к защите персональных данных, организации приема и обработки обращений и осуществлению контроля за приемом и обработкой таких обращений.

4. Ответственный за организацию обработки персональных данных Комитета обязан:

применять организационные меры по обеспечению безопасности персональных данных при их обработке, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

анализировать эффективность применения мер по обеспечению безопасности персональных данных;

проверять соблюдение правил доступа к персональным данным;

контролировать проведение мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

обеспечивать конфиденциальность персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля.

5. Ответственный за организацию обработки персональных данных в Комитете имеет право:

осуществлять проверки по контролю соответствия обработки персональных данных требованиям к защите персональных данных;

запрашивать у должностных лиц Комитета информацию, необходимую для реализации полномочий;

требовать от должностных лиц Комитета уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

применять меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

вносить руководителю Комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке, а также о привлечении к дисциплинарной ответственности должностных лиц Комитета, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных;

осуществлять внутренний контроль за соблюдением должностными лицами Комитета законодательства Российской Федерации о персональных данных, в том числе требований к защите информации;

доводить до сведения должностных лиц Комитета положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Приложение № 8 к приказу

комитета по туризму области

от 15 мая 2018 года № 12

ТИПОВОЕ ОБЯЗАТЕЛЬСТВО

государственного гражданского служащего комитета по туризму Саратовской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей

Я,___________________________________________________________,

замещающий(ая) должность ________________________________________,

настоящим добровольно принимаю на себя обязательство прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, после прекращения права на допуск к информации, содержащей персональные данные (в случае перевода на иную должность, не предусматривающую доступ к персональным данным, или в случае прекращения служебного контракта).

В соответствии со статьей 7 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» я уведомлен(а) о том, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Я предупрежден(а) о том, что в случае нарушения данного обязательства буду привлечен(а) к дисциплинарной ответственности или иной ответственности в соответствии с действующим законодательством Российской Федерации.

              __________________               _______________________________

              (подпись)              (фамилия, инициалы)

"___" ___________ 20___ года.

Приложение № 9 к приказу

комитета по туризму области

от 15 мая 2018 года № 12

ТИПОВАЯ ФОРМА

согласия на обработку персональных данных государственных гражданских служащих комитета по туризму Саратовской области, иных субъектов персональных данных

Я, ________________________________________________________________

(Фамилия, Имя, Отчество)

1. Дата рождения ___________________________________________________

(число, месяц, год)

2. Документ, удостоверяющий личность: _______________________________

__________________________________________________________________

(наименование, серия и номер документа, кем и когда выдан)

3. Адрес регистрации по месту жительства _____________________________

__________________________________________________________________

(почтовый адрес)

4. Адрес фактического проживания ___________________________________

__________________________________________________________________

(почтовый адрес фактического проживания)

даю свое согласие комитету по туризму Саратовской области, расположенному по адресу: 410012, г. Саратов, ул. Рабочая, 29/39 на автоматизированную, а также без использования средств автоматизации обработку и передачу моих персональных, а именно совершение действий, предусмотренных п.3 ч.1 ст.3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Цель обработки персональных данных: обеспечение исполнения и соблюдения законодательства Российской Федерации и Саратовской области.

Перечень персональных данных, обрабатываемых оператором:

– фамилия, имя, отчество;

– дата и место рождения;

– адреса места жительства и места временного пребывания;

– вид документа, удостоверяющего личность, серия и номер этого документа, наименование или код органа, выдавшего документ, дата выдачи документа;

– индивидуальный номер налогоплательщика (ИНН);

– сведения о страховом свидетельстве;

– номер телефона;

– другие сведения, предусмотренные законодательством.

Перечень действий с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, уничтожение персональных данных в служебных целях.

Мне известно, что вся информация и документы, созданные, полученные или удерживаемые комитетом по туризму Саратовской области будут обрабатываться в служебных целях, при условии соблюдения моих законных прав и свобод, если иное не предусмотрено действующим законодательством.

В случае выявления неправомерных действий с персональными данными, по моему письменному заявлению и в случае невозможности устранения недостатков в 3-х дневный срок, персональные данные подлежат уничтожению.

Об ответственности за достоверность представленных и представляемых сведений предупрежден(а).

Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.

"___" ___________ 20___ года.               __________________

                            (подпись)             

Приложение № 10 к приказу

комитета по туризму области

от 15 мая 2018 года № 12

ТИПОВАЯ ФОРМА

разъяснения субъекту персональных данных юридических

последствий отказа предоставить свои персональные данные

В соответствии со статьями 26, 42 Федерального закона от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации», Положением о персональных данных федерального государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденным Указом Президента Российской Федерации от 30 мая 2005 г. N 609, статьями 65, 86 Трудового кодекса Российской Федерации определен перечень персональных данных, который субъект персональных данных обязан предоставить в связи с поступлением или прохождением государственной гражданской службы (работы). Без представления субъектом персональных данных обязательных для заключения служебного контракта (трудового договора) сведений служебный контракт (трудовой договор) не может быть заключен.

На основании пункта 11 части 1 статьи 33 Федерального закона от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации», пункта 11 статьи 77 Трудового кодекса Российской Федерации служебный контракт (трудовой договор) прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность замещения должности (продолжения работы).

Мне, _________________________________________________________

(фамилия, имя, отчество)

разъяснены юридические последствия отказа предоставить свои персональные данные.

"___" ___________ 20___ года.               _________               __________________

Приложение № 11 к приказу

комитета по туризму области

от 15 мая 2018 года № 12

ПОРЯДОК

доступа государственных гражданских служащих комитета по туризму Саратовской области в помещения, в которых ведется обработка персональных данных

1. Настоящий Порядок доступа служащих комитета по туризму Саратовской области (далее - Комитета) в помещения, в которых ведется обработка персональных данных, разработан с учетом требований Федерального закона «О персональных данных» и постановления Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

2. Персональные данные относятся к конфиденциальной информации. Должностные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3. В Комитете персональные данные служащих, работников и граждан хранятся в служебных помещениях, в которых ведется обработка персональных данных.

4. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.

5. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.

6. Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в металлических шкафах.

7. Помещения, в которых ведется обработка персональных данных, запираются на ключ.

8. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня гражданские служащие и работники, имеющие право доступа в помещения, обязаны:

1) убрать бумажные носители персональных данных в металлический шкаф и закрыть его.

2) отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;

3) закрыть окна;

4) закрыть двери.

9. Перед открытием помещений, в которых ведется обработка персональных данных, гражданские служащие и работники, имеющие право доступа в помещения, обязаны:

1) провести внешний осмотр входной двери с целью установления целостности двери и замка;

2) открыть дверь и осмотреть помещение, проверить целостность и закрытие металлического шкафа.

10. При обнаружении неисправности двери и запирающих устройств гражданские служащие и работники обязаны:

1) не вскрывая помещение, в котором ведется обработка персональных данных, доложить об обнаруженных неисправностях непосредственному руководителю;

2) в присутствии не менее двух иных гражданских служащих, включая непосредственного руководителя, вскрыть помещение и осмотреть его;

3) составить акт о выявленных нарушениях и передать его представителю нанимателя для организации служебного расследования.

11. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только гражданские служащие и работники, непосредственно работающие в данном помещении.

12. Иные гражданские служащие и работники имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии гражданских служащих, непосредственно работающих в данных помещениях.

13. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной сигнализации, авариях в системах энерго-, водо- и теплоснабжения, помещение, в котором ведется обработка персональных данных, вскрывается комиссией в составе не менее двух человек.

14. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на Должностное лицо комитета, обрабатывающего персональные данные.