ДЕПАРТАМЕНТ ИНВЕСТИЦИОННОЙ И ПРОМЫШЛЕННОЙ ПОЛИТИКИ ТОМСКОЙ ОБЛАСТИ

РАСПОРЯЖЕНИЕ

Об обработке персональных данных в Департаменте инвестиционной и промышленной политики Томской области и о признании утратившими силу отдельных распоряжений Департамента инвестиций Томской области и Департамента инвестиционной и промышленной политики Томской области

В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»:

1. Утвердить Положение об обработке персональных данных в Департаменте инвестиционной и промышленной политики Томской области согласно приложению к настоящему распоряжению.

2. Признать утратившими силу следующие распоряжения Департамента инвестиций Томской области и Департамента инвестиционной и промышленной политики Томской области:

1) от 17.03.2021 № 12-р «Об обработке персональных данных в Департаменте инвестиций Томской области»;

2) от 25.10.2021 № 54-р «О внесении изменения в распоряжение Департамента инвестиций Томской области от 17.03.2021 № 12-р»;

3) от 09.03.2023 № 12-р «О внесении изменений в распоряжение Департамента инвестиций Томской области от 17.03.2021 № 12-р»;

4) от 26.06.2023 № 43-р «О внесении изменений в распоряжение Департамента инвестиций Томской области от 17.03.2021 № 12-р»;

5) от 15.08.2023 № 57-р «О внесении изменения в распоряжение Департамента инвестиций Томской области от 17.03.2021 № 12-р»;

6) от 20.06.2024 № 29-р «О внесении изменения в распоряжение Департамента инвестиций Томской области от 17.03.2021 № 12-р».

3. Определить ответственным за организацию обработки персональных данных в Департаменте инвестиционной и промышленной политики Томской области заместителя начальника Департамента - председателя Комитета финансово – правового обеспечения.

4. Комитету финансово – правового обеспечения ознакомить с настоящим распоряжением государственных гражданских служащих, замещающих должность государственной гражданской службы Томской области в Департаменте инвестиционной и промышленной политики Томской области, осуществляющих обработку персональных данных.

5. Настоящее распоряжение вступает в силу со дня его подписания.

6. Контроль за исполнением настоящего распоряжения оставляю за собой.

Начальник Департамента                                                                                     Г.А.Бородулин               

УТВЕРЖДЕНО

распоряжением Департамента

инвестиционной и промышленной политики Томской области

от                        №

ПОЛОЖЕНИЕ

об обработке персональных данных в Департаменте инвестиционной и промышленной политики Томской области

1. Общие положения

1. Настоящее Положение определяет политику Департамента инвестиционной и промышленной политики Томской области (далее – департамент) в отношении обработки персональных данных, в том числе утверждает:

1) правила обработки персональных данных в департаменте;

2) правила рассмотрения запросов субъектов персональных данных, их представителей, уполномоченного органа по защите прав субъектов персональных данных в департаменте;

3) правила осуществления внутреннего контроля соответствия обработки персональных данных в департаменте требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента;

4) перечень информационных систем персональных данных в департаменте;

5) перечень персональных данных, обрабатываемых в департаменте в связи с реализацией служебных или трудовых отношений;

6) должностные обязанности ответственного за организацию обработки персональных данных в департаменте (далее – ответственное лицо);

7) перечень должностей государственной гражданской службы Томской области в департаменте, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

8) типовое обязательство государственного гражданского служащего, замещающего должность государственной гражданской службы Томской области в департаменте (далее – гражданский служащий), в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

9) типовые формы согласия на обработку персональных данных в департаменте;

10) типовую форму разъяснения юридических последствий отказа предоставить свои персональные данные;

11) порядок доступа гражданских служащих в помещения, расположенные в здании департамента (далее – помещения), в которых ведется обработка персональных данных;

12) правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – возможный вред), соотношение возможного вреда и принимаемых департаментом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

13) Правила работы с обезличенными данными в департаменте совместно с Перечнем должностей государственных гражданских служащих департамента, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, согласно приложению № 9 к настоящему распоряжению.

2. Для целей настоящего Положения к субъектам персональных данных относятся:

            1) гражданские служащие, лица, претендующие на замещение должностей государственной гражданской службы Томской области в департаменте;

2) лица, выполняющие в департаменте работу (оказывающие департаменту услуги) на условиях гражданско-правового договора.

            Понятия, используемые в настоящем Положении, применяются в значениях, определенных федеральным законодательством и законодательством Томской области.

2. Правила обработки персональных данных в департаменте

3. Персональные данные обрабатываются в департаменте в целях, предусмотренных Федеральным законом от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации», Трудовым кодексом Российской Федерации, обеспечения соблюдения законодательства Российской Федерации о противодействии коррупции, обеспечения исполнения обязательств, возникших из гражданско-правовых договоров.
4. В связи с реализацией служебных, гражданско - правовых отношений и осуществлением государственных функций в департаменте обрабатываются персональные данные согласно приложению № 1 к настоящему Положению с использованием информационных систем персональных данных, предусмотренных приложением № 2 к настоящему Положению.
5. В должностные обязанности ответственного за организацию обработки персональных данных в департаменте (далее – ответственное лицо) входят следующие обязанности:

            1) принимать правовые, организационные и технические меры для защиты персональных данных от неправомерных действий (бездействия) в отношении персональных данных;

            2) знакомить под подпись гражданских служащих, осуществляющих обработку персональных данных в департаменте, с законодательством Российской Федерации в области персональных данных и иными правовыми актами, регулирующими отношения по обработке персональных данных, в том числе настоящим Положением, а также вносимыми в них изменениями;

            3) обеспечивать актуализацию перечней информационных систем персональных данных и должностей гражданских служащих, содержащихся в приложениях № 2 и № 3 к настоящему Положению;

            4) осуществлять оценку возможного вреда и принимать меры для предотвращения возможного вреда в соответствии с главой 6 настоящего Положения;

            5) осуществлять наблюдение за соблюдением гражданскими служащими, осуществляющими обработку персональных данных в департаменте, законодательства Российской Федерации в области персональных данных и иных правовых актов, регулирующих отношения по обработке персональных данных, в том числе настоящего Положения;

            6) незамедлительно письменно информировать начальника департамента о нарушениях, допущенных при обработке персональных данных в департаменте.

6. Обработка персональных данных либо доступ к персональным данным в департаменте осуществляется гражданскими служащими, включенными в перечень, приведенный в приложении № 3 к настоящему Положению (далее - уполномоченные лица).
7. Гражданские служащие, непосредственно осуществляющие обработку персональных данных в департаменте, дают письменное обязательство в случае расторжения с ними служебного контракта прекратить обработку персональных данных, ставших известными им в связи с исполнением должностных обязанностей, по форме согласно приложению № 4 к настоящему Положению.
8. Обработка персональных данных в департаменте осуществляется с письменного согласия субъектов персональных данных:

1) гражданских служащих по форме согласно приложению № 5 к настоящему Положению;

2) лиц, претендующих на замещение должностей государственной гражданской службы Томской области в департаменте, по форме согласно приложению № 6 к настоящему Положению;

3) лиц, выполняющих в департаменте работу (оказывающих департаменту услуги) на условиях гражданско-правового договора, по форме согласно приложению № 7 к настоящему Положению;

4) лиц, участвующих в органах управления юридических лиц, учредителем (участником, членом) которых является Томская область в лице Департамента инвестиционной и промышленной политики Томской области, по форме согласно приложению № 10 к настоящему Положению;   

5) лиц, информация о которых поступила в департамент от курируемых организаций для согласования на должности заместителей руководителей курируемых организаций по форме согласно приложению № 11 к настоящему Положению.

9. В случае отказа субъекта персональных данных предоставить свои персональные данные для их обработки в департаменте ему дается письменное разъяснение юридических последствий такого отказа по форме согласно приложению      № 8 к настоящему Положению.
10. Прием согласия на обработку персональных данных в департаменте и разъяснение юридических последствий отказа субъекта персональных данных предоставить свои персональные данные осуществляется Комитетом финансово – правового обеспечения.
11.  Гражданские служащие несут персональную ответственность за соблюдение установленных настоящим Положением требований к приему согласия на обработку персональных данных в департаменте и разъяснению юридических последствий отказа субъекта персональных данных предоставить свои персональные данные.
12. Департамент осуществляет обработку и хранение персональных данных в течение сроков, предусмотренных согласием субъекта персональных данных, полученным в соответствии с настоящим Положением.
13. Документы, содержащие персональные данные, сроки хранения которых истекли, а также в случаях, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», подлежат уничтожению.
14. Документы, содержащие персональные данные, уничтожаются Комитетом финансово – правового обеспечения или лицом, с которым департаментом заключен государственный контракт на выполнение таких работ.
15. Комитетом финансово – правового обеспечения осуществляется систематический мониторинг и выявление документов, содержащих персональные данные, подлежащих уничтожению.

3. Правила рассмотрения запросов субъектов персональных данных, их представителей, уполномоченного органа по защите прав субъектов персональных данных в департаменте

16. Ответственным за исполнение обязанностей оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных, его представителя или уполномоченного органа по защите прав субъектов персональных данных, по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных, является Комитет финансово – правового обеспечения.
17. Комитет финансово – правового обеспечения обеспечивает рассмотрение запросов субъектов персональных данных, их представителей, уполномоченного органа по защите прав субъектов персональных данных и подготовку ответов на указанные запросы, а также уточнение, блокирование и уничтожение персональных данных в случаях, порядке и сроки, установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

4. Правила осуществления внутреннего контроля соответствия обработки персональных данных в департаменте требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента

18. Внутренний контроль соответствия обработки персональных данных в департаменте установленным требованиям к защите персональных данных осуществляется в форме проверок.
19. Решение о проведении проверки принимается в случае поступления в департамент от субъекта персональных данных, его представителя или уполномоченного органа по защите прав субъектов персональных данных информации о нарушении департаментом, гражданским служащим установленных требований к защите персональных данных.
20. Срок проведения проверки не может превышать двадцать рабочих дней.
21. Решение о проведении проверки оформляется распоряжением департамента и содержит информацию об основании и о предмете проверки, датах начала и окончания проведения проверки, гражданских служащих, работниках, уполномоченных на проведение проверки.
22. Проверки проводятся:

1) гражданскими служащими, не замещающими должность в Комитете финансово – правового обеспечения, - при проведении проверки в отношении гражданских служащих, замещающих должность в Комитете финансово – правового обеспечения;

2) гражданскими служащими, замещающими должность в Комитете финансово – правового обеспечения, - при проведении проверки в отношении гражданских служащих, работников, не замещающих должность в Комитете финансово – правового обеспечения.

23. По результатам проверки не позднее трех рабочих дней со дня окончания ее проведения гражданскими служащими, уполномоченными на проведение проверки, составляется акт проверки.
24. Акт проверки содержит выводы о наличии или отсутствии нарушений установленных требований к защите персональных данных, а в случае наличия таких нарушений также выводы о составе нарушения, гражданских служащих, действия (бездействие) которых привели к нарушению указанных требований.

К акту проверки прилагаются связанные с результатами проверки документы.

25. Акт проверки подписывается всеми гражданскими служащими, проводившими проверку, согласными с содержащимися в нем выводами.

В случае несогласия гражданского служащего, проводившего проверку, с выводами, изложенными в акте проверки, особое мнение такого лица приобщается к акту проверки и заверяется его подписью. При этом в акте проверки делается отметка о наличии особого мнения конкретного гражданского служащего, проводившего проверку.

26. Акт проверки в срок, установленный пунктом 23 настоящего Положения, представляется начальнику департамента для принятия решения о наличии или отсутствии необходимости принятия мер по совершенствованию защиты персональных данных в департаменте.

            В случае выявления нарушения гражданским служащим установленных требований к защите персональных данных начальник департамента наряду с вопросом, указанным в абзаце первом настоящего пункта, решает вопрос о проведении служебной проверки в отношении гражданского служащего.

5. Порядок доступа гражданских служащих в помещения, в которых ведется обработка персональных данных

27. Доступ в помещения, в которых ведется обработка персональных данных, осуществляется уполномоченными лицами.
28. Лица, не являющиеся уполномоченными лицами, вправе находиться в помещении, в котором ведется обработка персональных данных, только в присутствии уполномоченных лиц.
29. Доступ в помещения, в которых ведется обработка персональных данных, разрешается только в служебное время департамента, за исключением случая доступа в помещения в другое время при условии предварительного уведомления уполномоченным лицом своего непосредственного руководителя.
30. Уполномоченные лица несут персональную ответственность за соблюдение требований, установленных настоящей главой.

6. Правила оценки возможного вреда, соотношение возможного вреда и принимаемых департаментом мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

31. Оценка возможного вреда осуществляется путем определения уровня возможного вреда с учетом характеристики возможного вреда:

1) низкий уровень возможного вреда – нарушение правил сбора, записи, систематизации, накопления, уточнения (обновления, изменения), извлечения персональных данных, не повлекшее причинение вреда жизни или здоровью, морального вреда, убытков субъекту персональных данных;

            2) средний уровень возможного вреда – нарушение правил хранения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения персональных данных, не повлекшее причинение вреда жизни или здоровью, морального вреда, убытков субъекту персональных данных;

            3) высокий уровень возможного вреда – нарушение правил, предусмотренных подпунктами 1), 2) настоящего пункта, повлекшее причинение вреда жизни или здоровью, морального вреда, убытков субъекту персональных данных.

32. Оценка возможного вреда осуществляется ответственным лицом по поручению начальника департамента в случае необходимости принятия решения по вопросу обработки персональных данных, который не урегулирован законодательством Российской Федерации в области персональных данных и иными правовыми актами, регулирующими отношения по обработке персональных данных, в том числе настоящим Положением, не позднее трех рабочих со дня получения такого поручения.
33. По результатам оценки возможного вреда в срок, установленный пунктом 32 настоящего Положения, ответственное лицо:

1) осуществляет подготовку письменного заключения об оценке возможного вреда, содержащего информацию об уровне и о характеристике возможного вреда, предлагаемых для принятия мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

2) представляет начальнику департамента заключение об оценке возможного вреда, составленное в соответствии с подпунктом 1) настоящего пункта, для принятия решения о мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», которые требуется принять для предотвращения возможного вреда, и оформления поручения ответственному лицу по принятию таких мер.

34. О принятых в соответствии с подпунктом 2) пункта 33 настоящего Положения мерах ответственное лицо незамедлительно письменно информирует начальника департамента.