О ПОЛИТИКЕ МИНИСТЕРСТВА СЕЛЬСКОГО ХОЗЯЙСТВА РЕСПУБЛИКИ КРЫМ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ



МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА РЕСПУБЛИКИ КРЫМ

ПРИКАЗ

ОТ 21.03.2019                                                                                                                № 183

О ПОЛИТИКЕ МИНИСТЕРСТВА СЕЛЬСКОГО ХОЗЯЙСТВА РЕСПУБЛИКИ КРЫМ  В ОТНОШЕНИИ  ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ
«О персональных данных», руководствуясь Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

ПРИКАЗЫВАЮ:

1. Утвердить Политику в отношении обработки персональных данных в информационных системах персональных данных Министерства сельского хозяйства Республики Крым, согласно приложению № 1.

2. Отделу информационных систем и программного обеспечения управления выставочной, ярмарочной деятельности и информационных систем разместить настоящий приказ на официальном сайте Министерства сельского хозяйства Республики Крым в информационно-телекоммуникационной сети «Интернет».

3. Контроль за выполнением настоящего приказа оставляю за собой.

Министр                                                                                                                                        А.РЮМШИН

Приложение 1

к приказу Министерства сельского хозяйства Республики Крым

«              »                                          №             

ПОЛИТИКА

в отношении обработки персональных данных
в информационных системах персональных данных
Министерства сельского хозяйства Республики Крым

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных в информационных системах персональных данных Министерства сельского хозяйства Республики Крым (далее - Политика) определяет действия Министерства сельского хозяйства Республики Крым (далее - Министерство) в отношении организации обработки и обеспечения безопасности персональных данных. Политика раскрывает основные принципы и правила, используемые Министерством при обработке персональных данных, в том числе определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, а также содержит сведения об исполнении Министерством обязанностей в соответствии с законодательными актами о персональных данных и сведения о реализуемых Министерством требований к защите обрабатываемых персональных данных. Политика действует в отношении всех персональных данных, обрабатываемых Министерством.

1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

1.3. Политика обработки персональных данных разработана с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

1.4. Положения Политики служат основой для разработки Министерством нормативных актов, регламентирующих вопросы обработки персональных данных работников Министерства и других субъектов персональных данных.

2. Основные понятия и термины

2.1. Для целей настоящей Политики понятия и термины применяются в значениях:

-              персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

-              оператор персональных данных (Оператор) - Министерство, самостоятельно осуществляющее обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

-              обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования;

-                            автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

-                            распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

-                            предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

-                            блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

-                            уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

-                            обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

-                            информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

-                            трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.2. Иные понятия и термины, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Федеральный закон № 152-ФЗ).

3. Права и обязанности

3.1. Права и обязанности оператора.

Оператор персональных данных вправе:

-              отстаивать свои интересы в суде;

-              предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

-              отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

-              использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.

Оператор персональных данных обязан:

-              принимать необходимые меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.

3.2. Права субъекта персональных данных.

Субъект персональных данных имеет право:

-                            требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

-                            требовать перечень своих персональных данных, обрабатываемых Оператором, и источник их получения;

-                            получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

-                            требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

-                            обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

-                            на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4. Принципы и цели обработки персональных данных

4.1. Обработка персональных данных Оператором осуществляется на основе принципов:

-              законности целей и способов обработки персональных данных, добросовестности и справедливой основы;

-                            соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

-                            соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

-                            достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

-              недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Обработка персональных данных Оператором ведется:

-                            для физических лиц, направивших в Министерство устное и (или) письменное обращение/заявление/жалобу, - с целью рассмотрения и проведения мероприятий по урегулированию ситуаций, по которым физические лица обратились в Министерство;

-                            для лиц, претендующих на замещение должностей государственной гражданской службы в Министерство, - с целью трудоустройства, прохождения конкурсного отбора на вакантные должности и ведения кадрового резерва;

-                            для государственных гражданских служащих Министерства - с целью соблюдения прав и обязанностей сторон трудового договора, исполнения законодательства (передача отчетности и др.) в сфере социального страхования и воинского учета, пенсионного и налогового законодательства, исполнения требований иных федеральных законов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества, оформления доверенностей, прохождения конкурсного отбора на вакантные должности, прохождения безналичных платежей (заработная плата) на банковский счет.

5. Правовые основания обработки персональных данных

5.1. Обработка и осуществление мер по обеспечению безопасности персональных данных осуществляются на основе следующих федеральных законов, законов Республики Крым и иных нормативных правовых актов Российской Федерации и Республики Крым:

              -              Конституции Российской Федерации;

              -              Трудового кодекса Российской Федерации;

              -              Федерального закона № 152-ФЗ;

              -              Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

              -              Федерального закона от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации»;

              -              Указа Президента Российской Федерации от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»;

              -    Постановления Правительства Российской Федерации от 15.09.2008              № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-        Постановления Правительства Российской Федерации от               21.03.2012 № 211«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

-              Постановления              Правительства Российской Федерации              от              01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

              -              Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

              -              Приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

              -              Закона Республики Крым от 29.05.2014 №5-ЗРК «О системе исполнительных органов государственной власти Республики Крым»;

              -              Постановления Совета министров Республики Крым              от              27.06.2014               № 146 «Об утверждении положения о Министерстве хозяйства Республики Крым»;

              -              Иных федеральных законов и нормативно-правовых актов Российской Федерации и Республики Крым.

6. Понятие, категории и состав персональных данных

6.1. Перечень обрабатываемых персональных данных, подлежащих защите в Министерство, формируется в соответствии с Федеральным законом № 152-ФЗ и внутренними нормативными, правовыми и распорядительными документами Министерства.

6.2. Сведениями, составляющими персональные данные, в Министерство является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

6.3. В зависимости от субъекта персональных данных, Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:

-              физических лиц, направивших в Министерство устное и (или) письменное обращение/заявление/жалобу.

-                            физических лиц, обратившихся в Министерство с целью трудоустройства.

-                            государственных гражданских служащих Министерства и их близких родственников.

6.4. В Министерстве осуществляется обработка персональных данных:

-                            Фамилия, имя, отчество, дата и место рождения, гражданство;

-                            Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения).

-                            Владение иностранными языками и языками народов Российской Федерации;

-              Образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);

-                            Послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов);

-                            Выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.);

-                            Классный чин федеральной государственной гражданской службы, государственной гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены);

-                            Государственные награды, иные награды и знаки отличия (кем награжден и когда);

-                            Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также супруг (супругов);

-                            Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также супруг (супругов);

-                            Фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших супруг (супругов);

-                            Пребывание за границей (когда, где, с какой целью);

-                            Близкие родственники (отец, мать, братья, сестры и дети), а также супруги, в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей);

-                            Адрес регистрации и фактического проживания;

-                            Дата регистрации по месту жительства;

-                            Паспорт (серия, номер, кем и когда выдан);

-                            Паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан);

-                            Социальное положение;

-                            Номер телефона;

-                            Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);

-                            Идентификационный номер налогоплательщика;

-                            Номер страхового свидетельства обязательного пенсионного страхования;

-                            Наличие (отсутствие) судимости;

-                            Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата);

-                            Наличие (отсутствие) заболевания, препятствующего поступлению на государственную гражданскую службу Республики Крым или ее прохождению, подтвержденного заключением медицинского учреждения;

-                            Результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования;

-                            Сведения о доходах, расходах, имуществе и об обязательствах имущественного характера, а также сведения о доходах, расходах, об имуществе и обязательствах имущественного характера супруг (супругов) и несовершеннолетних детей;

-                            Сведения о последнем месте государственной или муниципальной службы;

-                            Членство в некоммерческих организациях;

-                            Политические взгляды;

-                            Биометрические данные (фотография, подпись).

7. Порядок и условия обработки персональных данных

7.1. Министерство осуществляет обработку персональных данных субъекта, включающую сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7.2. Обработка персональных данных в Министерстве осуществляется следующими способами:

-              неавтоматизированная обработка персональных данных;

-              исключительно автоматизированная обработка персональных данных (обработка персональных данных с помощью средств вычислительной техники);

-              смешанная обработка персональных данных (автоматизированный и неавтоматизированный способы одновременно).

7.3. Информация, относящаяся к персональным данным, является конфиденциальной информацией и охраняется законом.

7.4. По мотивированному запросу исключительно для выполнения Оператором возложенных на него законодательством функций и полномочий, последний вправе передавать персональные данные субъекта без его согласия органам дознания, следствия и иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации и Республики Крым.

7.5. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв субъектом согласия на обработку его персональных данных, выявление неправомерной обработки персональных данных.

7.6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок их хранения не установлен федеральным законом. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

8.1. В случае выявления неправомерной обработки персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, и в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных.

В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.

В случае выявления неточных персональных данных Оператор обязан осуществить блокирование персональных данных, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Оператор обязан уточнить персональные данные в течение семи рабочих дней со дня представления уточненных сведений и снять блокирование персональных данных.

8.2. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.

8.3. Оператор обязан по запросу субъекта персональных данных или его представителя сообщить информацию об осуществляемой им обработке персональных данных такого субъекта.

9. Право субъекта персональных данных на доступ к его персональным данным

9.1. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.2. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9.3. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса в случаях, установленных Федеральным законом № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

9.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

-              подтверждение факта обработки персональных данных Оператором;

-              правовые основания и цели обработки персональных данных;

-              цели и применяемые Оператором способы обработки персональных данных;

-              наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона № 152-ФЗ;

-              обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;

-              сроки обработки персональных данных, в том числе сроки их хранения;

-              порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;

-              информацию об осуществленной или о предполагаемой трансграничной передаче данных;

-              наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.

9.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.

9.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Заключительные положения

10.1. Политика декларирует концептуальные основы деятельности Министерства при обработке персональных данных, и подлежит опубликованию на официальном портале Правительства Республики Крым на официальной странице Министерства.

10.2. Пересмотр положений настоящей Политики проводится периодически не реже чем 1 раз в год, а также в следующих случаях:

-              при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;

-              при изменении целей обработки персональных данных, структуры информационных и/или телекоммуникационных систем (или введении новых);

-              при применении новых технологий обработки персональных данных (в т. ч. передачи, хранения);

-              при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Министерства;

-              по результатам контроля выполнения требований по обработке и защите персональных данных;

-              по решению руководителя Министерства.

10.3. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в Министерстве.

10.4. Ответственность работников Министерства, осуществляющих обработку персональных данных и имеющих право доступа к ним, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации.

Министр                                                                                                                                               А. РЮМШИН