Дата утверждения: 05.08.2016 01:00:00 Дата публикации: 05.08.2016 01:00:00 Номер: 13 Тип: Правовые акты Орган исполнительной власти: Департамент инвестиций

Приказ Департамента инвестиций Томской области от 05.08.2016 № 13

ДЕПАРТАМЕНТ ИНВЕСТИЦИЙ ТОМСКОЙ ОБЛАСТИ

ПРИКАЗ

 

05.08.2016                                                                                             № 13

Об утверждении документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»

 

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», распоряжением Губернатора Томской области от 26.07.2013 № 254-р «Об утверждении Плана мероприятий по выполнению требований, установленных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами»,

 ПРИКАЗЫВАЮ:

1. Утвердить в Департаменте инвестиций Томской области:

1) Положение об обработке персональных данных в Департаменте инвестиций Томской области согласно приложению № 1 к настоящему приказу;

2) Правила рассмотрения запросов субъектов персональных данных или их представителей в Департамент инвестиций Томской области согласно приложению № 2 к настоящему приказу;

3) Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Департаменте инвестиций Томской области согласно приложению № 3 к настоящему приказу;

4) Правила работы с обезличенными данными в Департаменте инвестиций Томской области совместно с Перечнем должностей государственных гражданских служащих Департамента инвестиций Томской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, согласно приложению № 4 к настоящему приказу;

5) Перечень информационных систем персональных данных в Департаменте инвестиций Томской области согласно приложению № 5 к настоящему приказу;

6) Перечень персональных данных, обрабатываемых в Департаменте инвестиций Томской области в связи с реализацией государственно-служебных и трудовых отношений согласно приложению № 6 к настоящему приказу;

7) Перечень персональных данных, обрабатываемых в Департаменте инвестиций Томской области в связи с оказанием государственных услуг и осуществлением государственных функций согласно приложению № 7 к настоящему приказу;

8) Перечень должностей в Департаменте инвестиций Томской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным согласно приложению № 8 к настоящему приказу;

9) Перечень должностных обязанностей, включаемых в должностной регламент должностного лица, ответственного за организацию обработки персональных данных в Департаменте инвестиций Томской области согласно приложению № 9 к настоящему приказу;

10) типовую форму согласия субъекта персональных данных на обработку персональных данных в Департаменте инвестиций Томской области согласно приложению № 10 к настоящему приказу;

11) типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению № 11 к настоящему приказу;

12) Порядок доступа лиц, замещающих государственные должности Томской области, государственных гражданских служащих Томской области, лиц, замещающих должности, не являющиеся должностями государственной гражданской службы Томской области, в помещения Департамента инвестиций Томской области, в которых ведется обработка персональных данных, согласно приложению № 12 к настоящему приказу.

2. Финансово-правовому отделу Департамента инвестиций Томской области (М.А. Щукин):

1) ознакомить должностных лиц, осуществляющих обработку персональных данных в Департаменте инвестиций Томской области, с настоящим приказом;

2) обеспечить подписание с должностными лицами, осуществляющими обработку персональных данных в Департаменте инвестиций Томской области, обязательств о прекращении обработки персональных данных, ставших известными им в связи с исполнением должностных обязанностей, в случае расторжения с ними служебных контрактов (трудовых договоров).

3. Признать утратившим силу приказ Департамента инвестиций Томской области от 08.12.2014 № 18 «Об утверждении документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

4. Контроль исполнения настоящего приказа оставляю за собой.

 

 

 

Начальник Департамента                                                                                                 А.С. Федченко

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение № 1 к приказу

от 05.08.2016 № 13

 

УТВЕРЖДАЮ

Начальник Департамента

инвестиций Томской области

 

___________________А.С. Федченко

ПОЛОЖЕНИЕ
об обработке персональных данных
в Департаменте
инвестиций Томской области

1. Термины и определения

1.1. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.2. Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

1.3. Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;

1.4. Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

1.5. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

1.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

1.7. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

1.8. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

1.9. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

1.10. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

1.11. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1.12. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

1.13. Субъект персональных данных (субъект) – (в рамках настоящего Положения) физическое лицо, чьи персональные данные обрабатываются Департаментом инвестиций Томской области (далее – Департамент, Оператор) в процессе осуществления своей деятельности. К таким субъектам относятся государственные гражданские служащие; физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Департаментом; граждане, подавшие заявление на включение в кадровый резерв; граждане, подавшие обращение в Департамент.

2. Общие положения

2.1. Настоящее Положение об обработке персональных данных в Департаменте инвестиций Томской области (далее – Положение) разработано в поддержку Политики обработки персональных данных.

2.2. Настоящее Положение закрепляет права субъектов и обязанности Оператора в области персональных данных, а также устанавливает требования к обеспечению безопасности персональных данных при их обработке с использованием средств автоматизации и без использования таких средств.

2.3. Настоящее Положение разработано в соответствии с требованиями следующих нормативных правовых документов:

  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Федеральный закон от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 01.11.2012 № 1119;
  • Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утверждено постановлением Правительства Российской Федерации от 15.09.2008 № 687);
  • Постановление правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
  • Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации.

2.4. Все должностные лица, допущенные к обработке персональных данных, должны быть ознакомлены с настоящим Положением под роспись. Перечень лиц, допущенных к обработке персональных данных, устанавливается соответствующим приказом начальника Департамента.

2.5. Лицо, ответственное за организацию обработки персональных данных, назначается приказом начальника Департамента.

2.6. Лицо, ответственное за безопасность информационных систем персональных данных (администратор безопасности ИСПДн) назначается приказом начальника Департамента.

2.7. Положение вступает в силу с момента его утверждения начальником Департамента.

2.8. Все изменения в настоящее Положение вносятся в письменном виде и утверждаются приказом начальника Департамента с обязательным доведением изменений до ответственных сотрудников. Настоящее Положение может дополняться другими документами (инструкциями, положениями, регламентами), не противоречащими настоящему Положению, утверждаемыми в установленном порядке начальником Департамента.

3. Обработка персональных данных

3.1. Обработка персональных данных в Департаменте должна осуществляться на основе принципов:

  • законности целей и способов обработки персональных данных;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

3.2. Департамент осуществляет обработку персональных данных субъектов персональных данных в соответствующих информационных системах персональных данных (ИСПДн), либо в бумажной форме. В Департаменте составляются «Перечень персональных данных» и «Перечень информационных систем персональных данных», которые утверждаются начальником Департамента.

3.3. При обработке персональных данных начальник Департамента обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

3.4. Должностные лица Департамента, допущенные к обработке персональных данных, подписывают Обязательство о неразглашении персональных данных по форме, представленной в Приложении 1 к настоящему Положению.

3.5. Лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных. Получившее доступ к персональным данным лицо обязано не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

3.6. В случае, если Департамент на основании договора поручает обработку персональных данных другому лицу (организации), одним из существенных условий договора должна являться обязанность обеспечения указанным лицом (организацией) конфиденциальности персональных данных и безопасности персональных данных при их обработке.

3.7. Департамент осуществляет следующие виды обработки персональных данных: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.8. Департамент не осуществляет следующие виды обработки персональных данных:

  • трансграничной передачи персональных данных;
  • обработки персональных данных в целях продвижения товаров, работ, услуг на рынке и политической агитации;
  • принятие решений на основании исключительно автоматизированной обработки персональных данных в информационных системах (то есть автоматической обработки – без участия человека).

3.9. Обработка персональных данных может быть прекращена по следующим причинам:

  • достижение цели обработки персональных данных;
  • прекращение действия договора/поручения обработки персональных данных;
  • запрос субъекта ПДн о прекращении обработки его персональных данных;
  • прекращение деятельности Департамента.

4. Порядок обработки персональных данных в ИСПДн с использованием средств автоматизации

4.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 № 1119. Также, в соответствии с данным постановлением, оператором проводится установление уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от типа ИСПДн, актуальных угроз и количества обрабатываемых данных субъектов. Установление уровней защищенности ПДн подтверждается соответствующими актами, составленными и подписанными постоянной комиссией по персональным данным. Состав такой комиссии утверждается приказом начальника Департамента.

4.2. Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

4.3. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:

  • утвержденных организационно-распорядительных документов о порядке эксплуатации информационных систем персональных данных, включающих в себя акт установления уровней защищенности ПДн, инструкции допущенного к обработке пользователя, администратора безопасности ИСПДн, по организации антивирусной/парольной защиты, и других нормативных и методических документов;
  • настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;
  • охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных.

5. Порядок обработки персональных данных в ИСПДн без использования средств автоматизации

5.1. Обработка персональных данных без использования средств автоматизации (в виде документов на бумажных носителях, на внешних электронных носителях) осуществляется в соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным постановлением  Правительства Российской Федерации 15.09.2008 № 687.

5.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

5.3. При неавтоматизированной обработке персональных данных на бумажных носителях:

  • не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
  • персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
  • документы, содержащие персональные данные, могут формироваться в дела в зависимости от цели обработки персональных данных;
  • дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

5.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие условия:

  • типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
  • типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;
  • типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
  • типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

5.5. Неавтоматизированная обработка персональных данных в электронном виде заключается в хранении, передаче, уничтожении внешних электронных носителей информации.

5.6. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета машинных носителей персональных данных, составленном по утвержденной форме.

5.7. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

  • при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
  • при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

5.8. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях и/или в надежно запираемых металлических шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

5.9. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

6. Порядок получения (сбора, уточнения и накопления) персональных данных

6.1. Все обрабатываемые персональные данные могут быть получены непосредственно от субъектов персональных данных или их законных представителей, если иное не указано в договорах с соответствующими операторами.

6.2. Сбор, уточнение и накопление персональных данных в информационных системах Департамента может осуществляться допущенными к обработке ПДн сотрудниками Департамента.

6.3. Уточнение любых неполных, неточных или устаревших данных производится Департаментом в порядке, установленном статьями 20-21 Федерального закона от 27.07.2006 № 152 «О персональных данных», при получении полных, точных или актуальных данных соответственно. О внесенных таким образом изменениях Департамент уведомляет соответствующего субъекта персональных данных, а также по возможности лиц, которым в установленном порядке были предоставлены соответствующие персональные данные.

7. Порядок привлечения специализированных сторонних организаций к разработке ИСПДн и систем защиты информации

7.1. Порядок привлечения специализированных сторонних организаций к разработке и эксплуатации новых ИСПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн определяются ответственным за организацию обработки ПДн, исходя из особенностей автоматизированных систем и по согласованию с администратором безопасности ИСПДн.

7.2. Контроль за эксплуатацией ИСПДн осуществляется администратором безопасности ИСПДн.

7.3. К проектированию систем защиты персональных данных в ИСПДн, а также проведению мероприятий по обеспечению безопасности персональных данных для ИСПДн (поставка и внедрение средств защиты информации) могут привлекаться сторонние специализированные организации, имеющие лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.

8. Порядок предоставления персональных данных

8.1. Персональные данные предоставляются в виде сводных отчетов/перечней/ реестров третьим сторонам на основании соответствующих соглашений или договоров. При этом одним из ключевых условий договора/соглашения должно быть соблюдение конфиденциальности третьей стороной получаемых персональных данных.

8.2. Персональные данные могут предоставляться третьим лицам также в следующих случаях:

  • если было получено (и не отозвано) согласие субъекта на предоставление его персональных данных третьим лицам;
  • по запросу правоохранительных, судебных, исполнительных органов и других учреждений, которые имеют на это право, в предусмотренных действующим законодательством случаях.

8.3. Предоставление субъекту (или его законному представителю) персональных данных субъекта производится при обращении субъекта или поступлении запроса субъекта (или его законного представителя) в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

8.4. Предоставление персональных данных третьим лицам может осуществляться путем передачи на материальных носителях (бумажных или машинных). Перед предоставлением персональные данные извлекаются из информационной системы на данный носитель (путем извлечения, печати, копирования и т.п.).

8.5. Персональные данные, передаваемые по каналам в электронном виде (Интернет, электронная почта и др.), могут передаваться только по защищенным каналам связи с использованием сертифицированных ФСБ России шифровальных (криптографических) средств.

8.6. Передача персональных данных по открытым каналам связи (в т.ч. по телефону/факсу или телеграфу) запрещается.

9. Порядок хранения, блокирования и уничтожения персональных данных

9.1. Персональные данные могут храниться до достижения целей обработки или до востребования (передачи всех носителей субъекту или третьему лицу).

9.2. Персональные данные, предоставленные Департаменту другим оператором по договору, при окончании срока указанного договора уничтожаются.

9.3. Блокирование или уничтожение неполных, устаревших, неточных персональных данных осуществляется ответственным работником при получении соответствующего требования субъекта персональных данных или его законного представителя.

9.4. По достижении целей обработки персональные данные блокируются и хранятся в течение срока временного хранения, установленного в соответствии с архивным законодательством Российской Федерации.

9.5. По истечении срока временного хранения персональные данные уничтожаются или предоставляются на постоянное хранение в Государственный архив.

9.6. Виды бумажных и машинных носителей персональных данных, методы защиты от несанкционированного доступа, порядок хранения и уничтожения персональных данных устанавливаются локальными нормативными актами начальника Департамента, в частности – Положением о порядке хранения и уничтожения ПДн.

10. Доступ лиц к персональным данным

10.1. Перечень лиц, допущенных к обработке персональных данных, а также права доступа указанных лиц, устанавливаются локальными нормативными актами.

10.2. Должностные лица, которым необходимо получить доступ к обработке персональных данных для выполнения своих непосредственных должностных обязанностей, должны быть ознакомлены с настоящим Положением под роспись, а также подтвердить свои обязанности по обеспечению безопасности персональных данных, подписав Обязательство о неразглашении персональных данных.

10.3. Исключительное право доступа к любым персональным данным, обрабатываемым в Департаменте, имеют следующие должностные лица: начальника Департамента, администратор безопасности ИСПДн и ответственный за организацию обработки персональных данных.

10.4. В отличие от предоставления персональных данных доступ к персональным данным не подразумевает извлечения персональных данных за пределы информационных систем персональных данных.

11. Права субъектов и обязанности Оператора в области обработки персональных данных

11.1. Субъект персональных данных имеет право по запросу, в установленных законом случаях:

  • узнать, ведется ли в Департаменте обработка его персональных данных (в соответствии с пунктом7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ);
  • получить у Оператора свои персональные данные, обрабатываемые в Департаменте, за исключением случаев, когда это нарушает права и законные интересы третьих лиц (а также других случаев, установленных законом);
  • требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, или неточными;
  • узнать юридические последствия обработки (или отказа от обработки) персональных данных в Департаменте;
  • обжаловать действия или бездействия Оператора, в случае если субъект считает их нарушающими его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

11.2. Департамент, как оператор ПДн, обязан:

  • принимать необходимые правовые, организационные и технические меры по защите персональных данных от неправомерных и случайных действий или утраты (в соответствии со статьями 18-22 Федерального закона от 27.07.2006 № 152-ФЗ);
  • предоставить субъекту или его законному представителю, оператором персональных данных которого является Департамент, все обрабатываемые сведения о нем, безвозмездно, в доступной форме и без персональных данных других субъектов;
  • осуществить уточнение, блокирование или уничтожение персональных данных субъекта при предоставлении субъектом (или его законным представителем) сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту, являются неполными, устаревшими или неточными.

12. Ответственность за нарушение требований настоящего Положения

12.1. При получении (сборе, уточнении, накоплении) персональных данных непосредственно от субъектов или их законных представителей, они несут ответственность за актуальность и точность предоставленной ими информации.

12.2. Должностные лица, осуществляющие ввод, накопление, уточнение и другие виды обработки ПДн в информационных системах, несут ответственность за полноту полученной информации и не должны вводить информацию, противоречащую полученной непосредственно от субъектов персональных данных или их законных представителей.

12.3. Лица, виновные в нарушении норм, регулирующих обработку персональных данных субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую и уголовную ответственность в порядке, установленном действующим законодательством Российской Федерации.

12.4. Оператор несет установленную законом ответственность перед субъектами персональных данных за неправомерные действия ответственных лиц с персональными данными указанных субъектов. Уполномоченные лица несут ответственность перед оператором по договору.

 

 

 

 

 

 

 

 

Приложение 1

к Положению об обработке персональных данных в

Департаменте инвестиций Томской области

 

Департамент инвестиций Томской области

 

 Обязательство

о неразглашении персональных данных

 

г. Томск                                                                                «____»____________20___г.

 

Я,______________________________________________________________________

(фамилия, имя, отчество - полностью)

_____________________________________________________________________________

(должность, наименование структурного подразделения)

_____________________________________________________________________________

 

предупрежден (а), что на период государственной гражданской службы в Департаменте инвестиций Томской области (далее – Департамент) мне будет предоставлен доступ к персональным данным субъектов – работников и государственных гражданских служащих Департамента/физических лиц-граждан, подавших заявление на включение в кадровый резерв/граждан, состоящих в договорных и иных гражданско-правовых отношениях с Департаментом/граждан, подавших обращение в Департамент.

В связи с этим, я добровольно принимаю на себя следующие обязательства:

1. Не разглашать персональные данные, доступ к которым был мне предоставлен в связи с выполнением моих служебных обязанностей.

2. Не использовать полученные персональные данные в личных целях и в целях извлечения выгоды.

3. Не сообщать третьей стороне сведения о субъекте персональных данных, без его письменного согласия, за исключением случаев, установленных федеральным законом №152-ФЗ «О персональных данных».

4. Выполнять требования внутренних нормативных документов по обеспечению порядка обработки и обеспечению безопасности при обработке персональных данных.

5. Немедленно сообщать ответственному за организацию обработки персональных данных лицу о фактах, которые могут прямо или косвенно привести к разглашению и/или к несанкционированному использованию персональных данных.

Я предупрежден(а) о том, что за нарушение правил обработки и защиты персональных данных, установленных федеральными законами, нормативными актами федерального уровня и локальными нормативными актами, я могу понести дисциплинарную, материальную, административную и уголовную ответственность в порядке, установленном действующим законодательством Российской Федерации.

Я понимаю, что после завершения государственной гражданской службы, я не имею права разглашать персональные данные субъектов, ставшие известными мне в процессе выполнения моих служебных обязанностей.

 

С Положением об обработке персональных данных в Департаменте инвестиций Томской области ознакомлен (а).

 

_____________/____________________

     подпись                                                 Ф.И.О.

 

 

Приложение № 2 к приказу

от 05.08.2016 № 13

 

УТВЕРЖДАЮ

Начальник Департамента

инвестиций Томской области

 

     ___________________А.С. Федченко

 

ПРАВИЛА

рассмотрения запросов субъектов персональных данных или их представителей

в Департамент инвестиций Томской области

 

1. Общие положения

Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Департамент инвестиций Томской области (далее - Правила) регулируют отношения, возникающие при выполнении Департаментом инвестиций Томской области (далее - Оператор) обязательств согласно требованиям статей 14, 20 и 21 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ).

Положения настоящих Правил распространяются на действия оператора при получении запроса от государственных гражданских служащих Томской области, замещающих должности государственной гражданской службы в Департаменте инвестиций Томской области, иных лиц и их законных представителей (далее - субъект персональных данных) и Уполномоченного органа по защите прав субъектов персональных данных.

Данные действия направлены на определение порядка учета (регистрации), рассмотрение запросов, а также на подтверждение наличия, ознакомления, уточнения, уничтожения персональных данных (далее - ПДн) или отзыв согласия на обработку ПДн, а также на устранение нарушений законодательства, допущенных при обработке ПДн.

Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.

 

2. Организация и проведение работ Оператором по запросу

персональных данных

Субъект персональных данных имеет право на получение информации, касающейся обработки его ПДн в соответствии с частью 7 статьи 14 Федерального закона № 152-ФЗ.

Право субъекта персональных данных на доступ к его ПДн может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона № 152-ФЗ.

Субъект персональных данных вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, предоставляются субъекту персональных данных Оператором при получении запроса от субъекта персональных данных.

Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, должны быть предоставлены субъекту персональных данных в доступной форме и в них не должны содержаться ПДн, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

Запрос субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер служебного контракта, дата заключения служебного контракта, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта персональных данных. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Рассмотрение запросов является служебной обязанностью должностных лиц Оператора, в чьи обязанности входит обработка ПДн.

Должностные лица Оператора обеспечивают:

объективное, всестороннее и своевременное рассмотрения запроса;

принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;

направление письменных ответов по существу запроса.

Все поступившие запросы регистрируются в день их поступления в журнале учета запросов граждан (субъектов персональных данных) по вопросам обработки ПДн. На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации.

Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской.

В случае подачи субъектом персональных данных повторного запроса, в целях получения сведений, указанных в части 7 статьи 14 Федерального закона № 152-ФЗ, необходимо руководствоваться частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Повторный запрос наряду со сведениями, указанными выше, должен содержать обоснование направления повторного запроса.

Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным.

Прошедшие регистрацию запросы в тот же день докладываются начальнику Департамента инвестиций Томской области либо лицу, его заменяющему, который дает по каждому из них письменное указание исполнителям.

Исполнители при рассмотрении и разрешении запроса обязаны:

внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников Оператора на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о ПДн;

принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;

сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.

Оператор обязан сообщить субъекту персональных данных информацию о наличии ПДн, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими ПДн при запросе субъекта персональных данных либо в течение тридцати дней с даты получения запроса субъекта персональных данных.

В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте персональных данных или ПДн субъекту персональных данных при получении запроса субъекта персональных данных Оператор обязан руководствоваться частью 2 статьи 20 Федерального закона № 152-ФЗ.

Оператор обязан:

предоставить безвозмездно субъекту персональных данных возможность ознакомления с ПДн, относящимися к этому субъекту персональных данных;

уведомить субъекта персональных данных о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.

Ответы на запросы печатаются на бланке установленной формы и регистрируются за теми же номерами, что и запросы.

Должностное лицо, ответственное за обработку персональных данных Оператора, осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов. На контроль берутся все запросы.

При осуществлении контроля обращается внимание на сроки исполнения запроса и полноту рассмотрения поставленных вопросов, своевременность их исполнения и направления ответов заявителям.

 

3. Действия Оператора в ответ на запросы по персональным

данным

3.1. В случае поступления запроса субъекта персональных данных по ПДн необходимо выполнить следующие действия:

при получении запроса субъекта персональных данных на наличие ПДн необходимо в течение 30 дней с даты получения запроса (согласно части 1 статьи 20 Федерального закона № 152-ФЗ) подтвердить обработку ПДн в случае ее осуществления. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно части 2 статьи 20 Федерального закона № 152-ФЗ) необходимо отправить уведомление об отказе в предоставлении информации о наличии персональных данных;

при получении запроса субъекта персональных данных на ознакомление с ПДн необходимо в течение 30 дней с даты получения запроса (согласно части 1 статьи 20 Федерального закона № 152-ФЗ) предоставить для ознакомления ПДн, в случае осуществления обработки этих ПДн. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно части 2 статьи 20 Федерального закона № 152-ФЗ) необходимо отправить уведомление об отказе в предоставлении информации по ПДн.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Оператором;

правовые основания и цели обработки персональных данных;

цели и применяемые Оператором способы обработки персональных данных;

наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона № 152-ФЗ;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

При получении запроса субъекта персональных данных или его представителя на уточнение ПДн необходимо внести в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, по предоставлению субъектом ПДн или его сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, неточными или неактуальными (согласно части 3 статьи 20 Федерального закона № 152-ФЗ) и отправить уведомление о внесенных изменениях. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, неточными или неактуальными, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе в осуществлении изменения ПДн.

При получении запроса субъекта персональных данных на уничтожение ПДн необходимо их уничтожить в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно части 3 статьи 20 Федерального закона № 152-ФЗ), и отправить уведомление об уничтожении. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в силу необходимости обработки ПДн по требованиям иных законодательных актов, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе в уничтожении ПДн.

При получении запроса на отзыв согласия субъекта персональных данных на обработку ПДн необходимо прекратить их обработку и, в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва (согласно части 5 статьи 21 Федерального закона № 152-ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (согласно части 5 статьи 21 Федерального закона № 152-ФЗ).

При выявлении недостоверности ПДн при обращении или по запросу субъекта ПДн необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, необходимо уточнить ПДн в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПДн (согласно части 2 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе в изменении ПДн.

При выявлении неправомерных действий с ПДн Оператору по запросу субъекта ПДн необходимо в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку ПДн (согласно части 3 статьи 21 Федерального закона № 152-ФЗ). В случае если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн (согласно части 3 статьи 21 Федерального закона № 152-ФЗ), обязан уничтожить такие ПДн. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить субъекта персональных данных, а в случае, если обращение субъекта персональных данных либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

При достижении целей обработки ПДн Оператор обязан незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в течение 30 дней с даты достижения цели обработки ПДн (согласно части 4 статьи 21 Федерального закона № 152-ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами, и отправить уведомление об уничтожении ПДн.

3.2. В случае поступления запроса уполномоченного органа по защите прав субъекта персональных данных по ПДн необходимо выполнить следующие действия:

при получении запроса необходимо в течение 30 дней (согласно части 4 статьи 20 Федерального закона № 152-ФЗ) предоставить информацию, необходимую для осуществления деятельности указанного органа;

при выявлении недостоверных ПДн по запросу уполномоченного органа по защите прав субъекта ПДн необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании документов, предоставленных субъектом ПДн, необходимо в течение 7 рабочих дней уточнить ПДн и снять их блокирование (согласно части 2 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе изменения и снять блокирование ПДн;

при выявлении неправомерных действий Оператора с ПДн по запросу уполномоченного органа по защите прав субъекта ПДн необходимо прекратить неправомерную обработку ПДн в срок, не превышающий 3 рабочих дней с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона 152-ФЗ). В случае невозможности обеспечения правомерности обработки оператором ПДн в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с ПДн, необходимо уничтожить ПДн и отправить уведомление об уничтожении ПДн.

 

4. Ответственность Оператора

Персональные данные не подлежат разглашению (распространению).

Прекращение доступа к такой информации не освобождает работника от взятых им обязательств по неразглашению информации ограниченного доступа.

Организация и проведение работ по ответам на запросы, устранению нарушений, а также уточнению, блокированию и уничтожению ПДн возлагается на начальников структурных подразделений Департамента инвестиций Томской области, обрабатывающих ПДн.

Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.

Обобщенный алгоритм действий по запросу ПДн приведен в приложении 1 к настоящим Правилам.

Документальное оформление работы с запросами, уведомлениями и иными обращениями субъектов персональных данных и их представителей осуществляется в соответствии с формами, приведенными в приложениях 2-15 к настоящим Правилам.

 

Приложение 1

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

Действия по запросу персональных данных

 

Запрос

Действия

Срок

Ответ

1. Запрос субъекта персональных данных или его представителя

1.1.

Наличие ПДн

Подтверждение обработки ПДн

30 дней (согласно части 1 статьи 20 Федерального закона № 152-ФЗ)

Подтверждение обработки ПДн

Отказ в предоставлении информации о наличии ПДн

30 дней (согласно части 2 статьи 20 Федерального закона № 152-ФЗ)

Уведомление об отказе в предоставлении информации о наличии ПДн

1.2.

Ознакомление с ПДн 

Предоставление информации по ПДн

30 дней (согласно части 1 статьи 20 Федерального закона № 152-ФЗ)

Подтверждение обработки ПДн, а также правовые основания и цели такой обработки

Способы обработки ПДн

Сведения о лицах, которые имеют доступ к ПДн

Перечень обрабатываемых ПДн и источник их получения

Сроки обработки ПДн, в том числе сроки их хранения

Информация об осуществленных или о предполагаемой трансграничной передаче

Другое

Отказ предоставления информации по ПДн

30 дней (согласно части 2 статьи 20 Федерального закона № 152-ФЗ)

Уведомление об отказе предоставлении информации по ПДн

1.3.

Уточнение ПДн

Изменение ПДн

7 рабочих дней со дня предоставления уточняющих сведений (согласно части 3 статьи 20 Федерального закона № 152-ФЗ)

Уведомление о внесенных изменениях

Отказ изменения ПДн

30 дней

Уведомление об отказе предоставления изменения ПДн

1.4.

Уничтожение ПДн

Уничтожение ПДн

7 рабочих дней со дня предоставления сведений о незаконном получении ПДн или отсутствии необходимости ПДн для заявленной цели обработки (согласно части 3 статьи 20 Федерального закона № 152-ФЗ)

Уведомление об уничтожении

Отказ уничтожения ПДн

30 дней

Уведомление об отказе уничтожения ПДн

1.5.

Отзыв согласия на обработку ПДн

Прекращение обработки и уничтожение ПДн

3 рабочих дня (согласно части 5 статьи 21 Федерального закона № 152-ФЗ)

Уведомление о прекращении обработки и уничтожении ПДн

Отказ прекращения обработки и уничтожения ПДн

30 дней

Уведомление об отказе прекращения обработки и уничтожения ПДн

1.6.

Недостоверность ПДн субъекта

Блокировка ПДн

С момента обращения субъекта ПДн о недостоверности или с момента получения запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-ФЗ)

Уведомление о внесенных изменениях

Изменение ПДн

7 рабочих дней со дня предоставления уточненных сведений (согласно части 2 статьи 21 Федерального закона № 152-ФЗ)

Снятие блокировки ПДн

Отказ изменения ПДн

30 дней

Уведомление от отказе изменения ПДн

1.7.

Неправомерность действий с ПДн субъекта

Прекращение неправомерной обработки ПДн

3 рабочих дня (согласно части 3 статьи 21 Федерального закона № 152-ФЗ)

Уведомление об устранении нарушений

Уничтожение ПДн в случае невозможности обеспечения правомерности обработки

10 рабочих дней (согласно части 3 статьи 21 Федерального закона № 152-ФЗ)

Уведомление об уничтожении ПДн

1.8.

Достижение целей обработки ПДн субъекта

Прекращение обработки ПДн.

Уничтожение ПДн.

30 дней (согласно части 4 статьи 21 Федерального закона № 152-ФЗ)

Уведомление об уничтожении ПДн

2. Запрос уполномоченного органа по защите прав субъектов ПДн

2.1.

Информация для осуществления деятельности уполномоченного органа

Предоставление затребованной информации по ПДн

30 дней (согласно части 4 статьи 20 Федерального закона № 152-ФЗ)

Предоставление затребованной информации по ПДн

2.2.

Недостоверность ПДн

Блокировка ПДн

С момента обращения Уполномоченного органа о недостоверности или с момента получения запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-ФЗ)

Уведомление о внесенных изменениях

Изменение ПДн

7 рабочих дней со дня предоставления уточненных сведений (согласно части 2 статьи 21 Федерального закона № 152-ФЗ)

Снятие блокировки ПДн

Отказ изменения ПДн

30 дней

Уведомление от отказе изменения ПДн

2.3.

Неправомерность действий с ПДн

Прекращение неправомерной обработки ПДн

3 рабочих дня (согласно части 3 статьи 21 Федерального закона № 152-ФЗ)

Уведомление об устранении нарушений

Уничтожение ПДн в случае невозможности обеспечения правомерности обработки

10 рабочих дней (согласно части 3 статьи 21 Федерального закона № 152-ФЗ)

Уведомление об уничтожении ПДн

2.4.

Достижение целей обработки ПДн

Блокировка ПДн

30 дней (согласно части 4 статьи 21 Федерального закона № 152-ФЗ)

Уведомление об уничтожении ПДн

 

 

Приложение 2

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

 

Форма

 

 

В Департамент инвестиций Томской области

_______________________________

(ф.и.о. заявителя)

____________________________________

 

_______________________________

проживающего по адресу:

____________________________________

(наименование и реквизиты документа,

удостоверяющего личность заявителя)

_______________________________

_______________________________

 

Заявление

 

В том случае, если Департамент инвестиций Томской области обрабатывает мои персональные данные, прошу предоставить мне сведения о Вашей организации. В противном случае прошу Вас уведомить меня об отсутствии обработки моих персональных данных.

Ответ прошу направить в письменной форме по вышеуказанному адресу в срок, предусмотренный Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

 

 

    "___" __________ 20 ___ г.   _____________   ______________________________

                                                       (подпись)                (расшифровка подписи)

 

Приложение 3

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

Форма

 

 

В Департамент инвестиций Томской области

_______________________________

(ф.и.о. заявителя)

____________________________________

 

_______________________________

проживающего по адресу:

____________________________________

(наименование и реквизиты документа,

удостоверяющего личность заявителя)

_______________________________

_______________________________

 

Заявление

 

В соответствии со статьей  14 Федерального закона от 27 июля 2006 г.№ 152-ФЗ «О персональных данных» прошу предоставить мне для ознакомления обрабатываемую Вами информацию, составляющую мои персональные данные, указать:

осуществляется ли обработка моих персональных данных;

цели, способы и сроки ее обработки;

перечень  обрабатываемых вами моих персональных данных и источник их получения;

какие лица имеют доступ или могут получить доступ к моим персональным

данным;

срок хранения моих персональных данных;

осуществлялась ли трансграничная передача моих персональных данных, если нет, то предполагается ли такая передача;

сведения о том, какие юридические последствия для меня может повлечь ее обработка;

другое.

Ответ прошу направить в письменной форме по вышеуказанному адресу в предусмотренный Законом срок.

 

 

    "___" __________ 20 ___ г.   _____________   ______________________________

                                                       (подпись)                (расшифровка подписи)

 

Приложение 4

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

Форма

 

 

Уведомление субъекта ПДн об обработке ПДн

 

 

Уважаемый(-ая)_____________________________________________________,

 (ф.и.о.)

Департаментом инвестиций Томской области производится обработка сведений, составляющих Ваши персональные данные __________________________________.

(указать сведения)

________________________________________________________________________

________________________________________________________________________________________________________________________________________________.

 

Цели обработки: ____________________________________________________.

 

Способы обработки: _________________________________________________.

 

Перечень лиц, которые имеют доступ к информации, содержащей Ваши персональные данные или могут получить такой доступ:

 

Должность

Ф.И.О.

Вид доступа

Примечания

 

 

 

 

 

 

 

 

 

 

 

 

Другое.

По результатам обработки указанной информации нами планируется принятие следующих решений______________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________,

которые будут доведены до Вашего сведения.

Против принятого решения Вы имеете право заявить свои письменные возражения в ____________________ срок.

____________________  __________________   _____________________________

        (должность)                         (подпись)                  (расшифровка подписи)

 

    "___" ____________ 20 ___ г.

 

Приложение 5

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

Форма

 

 

В Департамент инвестиций Томской области

_______________________________

(ф.и.о. заявителя)

____________________________________

 

_______________________________

проживающего по адресу:

____________________________________

(наименование и реквизиты документа,

удостоверяющего личность заявителя)

_______________________________

_______________________________

 

Заявление

 

Прошу уточнить обрабатываемые Вами мои персональные данные в соответствии со сведениями: _______________________________________________

(указать уточненные персональные данные заявителя)

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

в связи с тем, что _________________________________________________________

 (указать причину уточнения персональных данных)

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________.

 

Ответ прошу направить в письменной форме по вышеуказанному адресу в срок, предусмотренный Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

 

 

    "___" __________ 20 ___ г.   _____________   ______________________________

                                                       (подпись)                (расшифровка подписи)

 

Приложение 6

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

Форма

 

 

Уведомление об уточнении ПДн субъекта ПДн

 

 

Уважаемый(-ая)_____________________________________________________,

(ф.и.о.)

в связи с _______________________________________________ сообщаем Вам, что

Ваши персональные данные уточнены в соответствии со сведениями:

________________________________________________________________________________________________________________________________________________________________________________________________________________________.

 

 

____________________  __________________   _____________________________

        (должность)                         (подпись)                  (расшифровка подписи)

 

    "___" ____________ 20 ___ г.

 

Приложение 7

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

Форма

 

 

В Департамент инвестиций Томской области

_______________________________

(ф.и.о. заявителя)

____________________________________

 

_______________________________

проживающего по адресу:

____________________________________

(наименование и реквизиты документа,

удостоверяющего личность заявителя)

_______________________________

_______________________________

 

Заявление

 

Прошу заблокировать обрабатываемые Вами мои персональные данные: ________________________________________________________________________

(указать блокируемые персональные данные)

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

на срок: ______________________, в связи с тем, что ___________________________

       (указать срок блокирования)                                            (указать причину блокирования)

_____________________________________________________________________________________

 

Ответ прошу направить в письменной форме по вышеуказанному адресу в срок, предусмотренный Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

 

 

    "___" __________ 20 ___ г.   _____________   ______________________________

                                                       (подпись)                (расшифровка подписи)

 

Приложение 8

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

Форма

 

 

Уведомление о блокировании ПДн субъекта ПДн

 

 

Уважаемый(-ая)_____________________________________________________,

(ф.и.о.)

в связи с ________________________________________________________________

сообщаем Вам, что Ваши персональные данные _______________________________

(указать персональные данные)

________________________________________________________________________________________________________________________________________________ заблокированы на срок ____________________________.

 

 

____________________  __________________   _____________________________

        (должность)                         (подпись)                  (расшифровка подписи)

 

    "___" ____________ 20 ___ г.

 

Приложение 9

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

Форма

 

 

В Департамент инвестиций Томской области

_______________________________

(ф.и.о. заявителя)

____________________________________

 

_______________________________

проживающего по адресу:

____________________________________

(наименование и реквизиты документа,

удостоверяющего личность заявителя)

_______________________________

_______________________________

 

Заявление

 

Прошу прекратить обработку и уничтожить мои персональные данные: ________________________________________________________________________

(указать уничтожаемые персональные данные)

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

в связи с тем, что _________________________________________________________

                                      (указать причину уничтожения персональных данных)

__________________________________________________________________________________________________________________________________________________________________________

 

Ответ прошу направить в письменной форме по вышеуказанному адресу в срок, предусмотренный Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

 

 

    "___" __________ 20 ___ г.   _____________   ______________________________

                                                       (подпись)                (расшифровка подписи)

 

Приложение 10

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

Форма

 

 

Уведомление о прекращении обработки и уничтожении ПДн субъекта ПДн

 

 

Уважаемый(-ая)_____________________________________________________,

(ф.и.о.)

в связи с ________________________________________________________________

________________________________________________________________________________________________________________________________________________

сообщаем Вам, что обработка Ваших персональных данных прекращена и Ваши персональные данные _____________________________________________________

(указать персональные данные)

________________________________________________________________________________________________________________________________________________ уничтожены.

 

 

____________________  __________________   _____________________________

        (должность)                         (подпись)                  (расшифровка подписи)

 

    "___" ____________ 20 ___ г.

 

Приложение 11

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

Форма

 

 

Запрос

 

 

Уважаемый(-ая)_____________________________________________________,

(ф.и.о.)

в связи с ________________________________________________________________

________________________________________________________________________

у Департамента инвестиций Томской области возникла необходимость получения следующей информации, составляющей Ваши персональные данные ________________________________________________________________________

(перечислить информацию)

________________________________________________________________________________________________________________________________________________.

Просим Вас предоставить указанные сведения в течение _____ рабочих дней с момента получения настоящего запроса.

В случае невозможности предоставить указанные сведения просим в указанный срок дать письменное согласие на получение нами необходимой информации из следующих источников _____________________________________, следующими способами ___________________________________________________.

По результатам обработки указанной информации нами планируется принятие следующих решений, которые будут доведены до Вашего сведения ________________________________________________________________________.

Против принятого решения Вы имеете право заявить свои письменные возражения в ____________________ срок.

        

Ответ прошу направить в письменной форме в наш адрес в срок, предусмотренный Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

 

____________________  __________________   _____________________________

        (должность)                         (подпись)                  (расшифровка подписи)

 

    "___" ____________ 20 ___ г.

 

Приложение 12

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

 

Форма

 

 

Уведомление субъекта ПДн об устранении допущенных нарушений

 

 

Уважаемый(-ая)_____________________________________________________,

(ф.и.о.)

в связи с ________________________________________________________________

сообщаем Вам, что все допущенные нарушения при обработке Ваших персональных данных устранены.

Департаментом инвестиций Томской области были внесены изменения в Ваши персональные данные _____________________________________________________

(указать персональные данные)

________________________________________________________________________________________________________________________________________________ ________________________________________________________________________.

 

 

____________________  __________________   _____________________________

        (должность)                         (подпись)                  (расшифровка подписи)

 

    "___" ____________ 20 ___ г.

 

 

Приложение 13

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

 

Форма

 

 

Уведомление уполномоченного органа по защите прав субъектов ПДн об устранении допущенных нарушений

 

 

В _________________________

 (указать уполномоченный орган)

 

 

Настоящим уведомлением сообщаем Вам, что допущенные нарушения при обработке персональных данных, а именно ___________________________________

 (указать допущенные нарушения)

_______________________________________________________________________________________________________________________________________________________________________________________________________________устранены.         

Департаментом инвестиций Томской области были внесены изменения в персональные данные__________________________________________________________________,

(ф.и.о. субъекта ПДн, его персональные данные)

________________________________________________________________________

________________________________________________________________________________________________________________________________________________

 

____________________  __________________   _____________________________

        (должность)                         (подпись)                  (расшифровка подписи)

 

    "___" ____________ 20 ___ г.

 

Приложение 14

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

 

Форма

 

 

 

Уведомление уполномоченного органа по защите прав субъектов ПДн об уничтожении ПДн

 

 

В _________________________

 (указать уполномоченный орган)

 

 

Настоящим уведомлением сообщаем Вам, что в связи с ________________________________________________________________________

персональные данные _____________________________________________________

(ф.и.о. субъекта ПДн, его персональные данные)

_____________________________________________________________________________________________________________________________________________________________________________________________________________уничтожены.

 

 

 

____________________  __________________   _____________________________

        (должность)                         (подпись)                  (расшифровка подписи)

 

    "___" ____________ 20 ___ г.

 

 

Приложение 15

к Правилам рассмотрения запросов

субъектов персональных данных или

их представителей в Департамент инвестиций Томской области

 

 

Форма

Титульный лист

Инв. № ________                                                                                                                                                      _____________

(гриф)

ЖУРНАЛ

учёта запросов граждан (субъектов персональных данных) в Департамент инвестиций Томской области

по вопросам обработки персональных данных

 

Начат: «___» _______________ 20__ г.

Окончен: «___» _____________ 20__ г.

На ____________ листах

Срок хранения _____ лет

------------------------------------------------------------------------------------------------------------------------------------------------------------

Содержание

 

п/п

Сведения о запрашивающем лице

Краткое

содержание

запроса

Цель

запроса

Отметка о предоставлении информации или отказе в ее предоставлении

Дата передачи/отказа в предоставлении информации

Подпись ответственного лица

Примечание

1

2

3

4

5

6

7

8

 

 

 

 

 

 

 

 

 

Приложение № 3 к приказу

от 05.08.2016 № 13

 

УТВЕРЖДАЮ

Начальник Департамента

инвестиций Томской области

 

___________________А.С. Федченко

 

ПРАВИЛА

осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Департаменте инвестиций Томской области

 

  1.  Настоящие Правила разработаны на основании требований Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  2. Настоящие Правила описывают порядок планирования и проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - проверка) в Департаменте инвестиций Томской области (далее – объект контроля).
  3. Целью проведения проверок является обеспечение на объектах контроля надлежащего выполнения требований обеспечения конфиденциальности, целостности и доступности защищаемой информации в соответствии с действующим законодательством Российской Федерации.
  4. Проверки осуществляются комиссиями или отдельными сотрудниками структурных подразделений Департамента инвестиций Томской области, совместно с ответственным за организацию обработки персональных данных. В состав комиссий могут включаться сотрудники подразделений по защите государственной тайны иных исполнительных органов государственной власти Томской области по согласованию с их руководителями.
  5. Проверки проводятся по методике проверки защиты персональных данных, разрабатываемой структурным подразделением по защите государственной тайны Администрации Томской области, и утверждаемой Губернатором Томской области.  
  6. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
  • наличие организационно-распорядительных документов, определяющих задачи, функции и полномочия должностных лиц в части обеспечения безопасности персональных данных;
  • порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
  • эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • проверка комплектации и размещения технических средств информационной системы персональных данных на соответствие сведениям, указанным в Техническом паспорте на информационную систему персональных данных;
  • проверка соответствия установленных на автоматизированных рабочих местах информационной системы персональных данных программных средств сведениям, представленным в Техническом паспорте на информационную систему персональных данных;
  • проверка работоспособности системы защиты информационной системы персональных данных;
  • состояние учета машинных носителей персональных данных;
  • соблюдение правил доступа пользователей к информационной системе персональных данных;
  • наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
  • мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • осуществление мероприятий по обеспечению целостности персональных данных;
  • проверка порядка хранения бумажных носителей с персональными данными;
  • проверка порядка доступа к бумажным носителям с персональными данными;
  • проверка порядка доступа в помещения, где обрабатываются и хранятся бумажные носители с персональными данными.
  1. Должностное лицо, ответственное за организацию обработки персональных данных в Департаменте инвестиций Томской области, либо комиссия при проведении проверки соответствия обработки персональных данных имеет право:
  • запрашивать у сотрудников объектов контроля информацию, необходимую для реализации полномочий;
  • требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных и полученных незаконным путем персональных данных;
  • вносить предложения по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
  • вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
  • вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
  1. Контроль проводится в соответствии с ежегодным планом, утвержденным начальником Департамента инвестиций Томской области. С данным планом должны быть ознакомлены ответственные за обеспечение безопасности функционирующих в Департаменте инвестиций Томской области информационных систем персональных данных.
  2. Внеплановые проверки проводятся на основании поручений начальника Департамента инвестиций Томской области и (или) на основании поступившего в соответствующий исполнительный орган государственной власти письменного заявления о нарушениях правил обработки персональных данных. Проведение внеплановой проверки организуется в течение трех рабочих дней.
  3. По результатам проверки составляется акт, в котором указываются результаты проверки, допущенные нарушения и предложения по их устранению. Акт составляется в 2 экземплярах и подписывается ответственным за организацию обработки персональных данных, а так же членами комиссии. Акты о результатах проверки передаются руководителю структурного подразделения по защите государственной тайны, проводившего проверку, и руководителю объекта контроля.
  4. Объект контроля составляет план мероприятий по устранению выявленных нарушений и недостатков, реализации предложений, содержащихся в акте, с указанием сроков выполнения мероприятий и утверждает его у руководителя соответствующего исполнительного органа государственной власти.
  5. Проверка должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения о ее проведении.
  6. Результаты контроля и ход устранения выявленных нарушений и недостатков, рассматриваются начальником Департамента инвестиций Томской области, проводится анализ причин типовых нарушений.
 

Приложение № 4 к приказу

от 05.08.2016 № 13

 

УТВЕРЖДАЮ

Начальник Департамента

инвестиций Томской области

 

___________________А.С. Федченко

 

ПРАВИЛА

работы с обезличенными персональными данными в Департаменте инвестиций Томской области

 

I. Общие положения

1. Настоящие Правила работы с обезличенными персональными данными в Департаменте инвестиций Томской области (далее - Правила) разработаны в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

2. Настоящие Правила определяют порядок работы с обезличенными данными в Департаменте инвестиций Томской области (далее - Департамент).

 

II. Основные понятия, используемые в Правилах

3. В Правилах используются следующие основные понятия:

1) персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

3) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

 

III. Условия обезличивания

4. Обезличивание персональных данных может быть проведено с целью снижения ущерба от разглашения защищаемых ПДн, снижения требований к защите информационных систем персональных данных (ИСПДн) Департамента и по достижению целей обработки ПДн или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

5. Способы обезличивания при условии дальнейшей обработки персональных данных:

1) уменьшение перечня обрабатываемых сведений;

2) замена части сведений идентификаторами;

3) понижение точности некоторых сведений (напр. обобщение);

4) деление сведений на части и обработка в разных информационных системах;

5) другие способы.

6. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.

7. Для обезличивания персональных данных годятся любые способы, не запрещенные законодательно.

8. Перечень должностей государственных гражданских служащих Департамента, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в приложении к настоящим Правилам.

9. Решение о необходимости обезличивания персональных данных оформляется правовым актом начальника Департамента инвестиций Томской области.

10. Руководители структурных подразделений Департамента, непосредственно осуществляющих обработку ПДн, готовят предложения по обезличиванию ПДн, обоснование такой необходимости и определяют способ обезличивания.

11. Сотрудники подразделений, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных осуществляют непосредственное обезличивание выбранным способом.

 

IV. Порядок работы с обезличенными персональными данными

12. Обезличенные персональные данные не подлежат разглашению.

13. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

14. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

1) парольной политики;

2) антивирусной политики;

3) правил работы со съемными носителями (если они используются);

4) правил резервного копирования;

5) правил доступа в помещения, где расположены элементы информационных систем.

15. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение.

1) правил хранения бумажных носителей;

2) правил доступа к ним и в помещения, где они хранятся.

 

Приложение

к Правилам работы с обезличенными персональными

данными в Департаменте инвестиций Томской области

 

 

ПЕРЕЧЕНЬ

должностей государственных гражданских служащих Департамента инвестиций Томской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных

 

 

п/п

Должность

1.

Начальник Департамента инвестиций Томской области

2.

Заместитель начальника Департамента инвестиций Томской области

3.

Председатель Комитета по инвестиционной политике Департамента инвестиций Томской области

4.

Председатель Комитета государственной поддержки инвестиционной деятельности и сопровождения инвестиционных проектов Департамента инвестиций Томской области

5.

Начальник финансово-правового отдела Департамента инвестиций Томской области

6.

Консультант-главный бухгалтер финансово-правового отдела Департамента инвестиций Томской области

 

 

Приложение № 5 к приказу

от 05.08.2016 № 13

 

УТВЕРЖДАЮ

Начальник Департамента

инвестиций Томской области

 

___________________А.С. Федченко

 

ПЕРЕЧЕНЬ

информационных систем персональных данных в Департаменте инвестиций Томской области

 

п/п

Наименование ИСПДн/ подсистемы

Информация, необходимая для установления уровня защищенности ПДн

Режим обработки ПДн

Разграничение доступа пользователей

Структура ИСПДн

Наличие подключения к ССОП и сетям МИО (Интернет)

Необходимый уровень защищенности ПДн

Категория ПДн

Субъекты ПДн

(сотрудники/не сотрудники)

Тип угроз, актуальный для ИСПДн

Количество субъектов ПДн (более/менее 100 000 субъектов)

  1.  

ИС «Бухгалтерия и кадры»

иные

сотрудники

3

менее

100 000

Многопользовательская

С разграничением прав доступа

Локальная

+

4

         Подсистемы ИС «Бухгалтерия и кадры»:

1С: Бухгалтерия и кадры

иные

сотрудники

3

менее

100 000

Многопользовательская

С разграничением прав доступа

Локальная

+

4

СБИС++ (Отчетность)

иные

сотрудники

3

менее

100 000

Однопользовательская

-

АРМ

+

4

Банк-клиент Сбербанк-Онлайн

иные

сотрудники

3

менее

100 000

Однопользовательская

-

АРМ

+

4

ВУБ-19

иные

сотрудники

3

менее

100 000

Однопользовательская

-

АРМ

+

4

  1.  

ИС «Граждане»

иные

не сотрудники

3

менее

100 000

Однопользовательская

-

АРМ

+

4

        Подсистемы ИС «Граждане»:

Обращения граждан

иные

не сотрудники

3

менее

100 000

Однопользовательская

-

АРМ

+

4

Примечание.

Базы данных ИСПДн, содержащие персональные данные граждан Российской Федерации, располагаются в пределах контролируемой зоны Департамента инвестиций Томской области по адресу: г. Томск,  пл. Ленина, д. 14, на территории РФ. Трансграничная передача ПДн не осуществляется.

 

Приложение № 6 к приказу

от 05.08.2016 № 13

 

УТВЕРЖДАЮ

Начальник Департамента

инвестиций Томской области

 

___________________А.С. Федченко

 

ПЕРЕЧЕНЬ

персональных данных, обрабатываемых в Департаменте инвестиций Томской области в связи с реализацией государственно-служебных и трудовых отношений

 

В Департаменте инвестиций Томской области в связи с реализацией государственно-служебных и трудовых отношений обрабатываются следующие персональные данные:

1) фамилия, имя, отчество;

2) число, месяц, год и место рождения;

3) пол;

4) сведения о гражданстве;

5) сведения о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);

6) сведения о выполняемой работе с начала трудовой деятельности (включая учебу в высших и средних специальных учебных заведениях, военную службу, работу по совместительству, предпринимательскую деятельность и т.п.);

7) сведения о близких родственниках, а также о супруге, в том числе бывшей (бывшем);

8) паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения);

9) сведения о регистрации и/или фактическом месте жительства;

10) сведения о государственном пенсионном страховании гражданского служащего;

11) сведения о постановке на учет в налоговом органе по месту жительства на территории Российской Федерации;

12) номер домашнего, служебного, мобильного телефона;

13) сведения о классном чине федеральной гражданской службы, дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации, квалификационном разряде государственной службы, классном чине муниципальной службы;

14) сведения о судимости (отсутствии судимости);

15) сведения о допуске к государственной тайне;

16) сведения о пребывании за границей;

17) сведения о государственной регистрации актов гражданского состояния;

18) сведения о награждении государственными наградами Российской Федерации, Почетной грамотой Президента Российской Федерации, об объявлении благодарности Президента Российской Федерации, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются);

19) сведения об отношении к воинской обязанности;

20) сведения об аттестации гражданского служащего;

21) сведения о включении в кадровый резерв;

22) сведения о наложении дисциплинарного взыскания до его снятия или отмены;

23) сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего и членов его семьи;

24) сведения о расходах на совершение сделок по приобретению недвижимого имущества, транспортного средства, ценных бумаг, акций и об источниках получения средств, за счет которых совершена указанная сделка;

25) заключение медицинского учреждения о наличии (отсутствии) заболевания, препятствующего поступлению на государственную службу Российской Федерации и муниципальную службу или ее прохождению.

 

Приложение № 7 к приказу

от 05.08.2016 № 13

 

УТВЕРЖДАЮ

Начальник Департамента

инвестиций Томской области

 

___________________А.С. Федченко

 

ПЕРЕЧЕНЬ

персональных данных, обрабатываемых в Департаменте инвестиций Томской области в связи с оказанием государственных услуг и осуществлением государственных функций

 

Департамент инвестиций Томской области в связи с оказанием государственных услуг и осуществлением государственных функций обрабатывает следующие персональные данные:

1) фамилия, имя, отчество;

2) должность, место работы;

3) пол;

4) дата рождения;

5) паспортные данные (серия, номер паспорта, кем и когда выдан, код подразделения);

6) адрес регистрации по месту жительства, адрес фактического проживания.

 

 

Приложение № 8 к приказу

от 05.08.2016 № 13

 

УТВЕРЖДАЮ

Начальник Департамента

инвестиций Томской области

 

___________________А.С. Федченко

 

 

ПЕРЕЧЕНЬ

должностей в Департаменте инвестиций Томской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

 

№ п/п

Должность

1

Начальник Департамента инвестиций Томской области

2

Заместитель начальника Департамента инвестиций Томской области

3

Председатель Комитета государственной поддержки инвестиционной деятельности и сопровождения инвестиционных проектов Департамента инвестиций Томской области

4

Заместитель председателя Комитета государственной поддержки инвестиционной деятельности и сопровождения инвестиционных проектов Департамента инвестиций Томской области

5

Консультант Комитета государственной поддержки инвестиционной деятельности и сопровождения инвестиционных проектов Департамента инвестиций Томской области

6

Консультант-юрист Комитета государственной поддержки инвестиционной деятельности и сопровождения инвестиционных проектов Департамента инвестиций Томской области

7

Председатель Комитета по инвестиционной политике Департамента инвестиций Томской области

8

Заместитель председателя Комитета по инвестиционной политике Департамента инвестиций Томской области

9

Консультант Комитета по инвестиционной политике Департамента инвестиций Томской области

10

Главный специалист Комитета по инвестиционной политике Департамента инвестиций Томской области

11

Начальник финансово-правового отдела Департамента инвестиций Томской области

12

Консультант-главный бухгалтер финансово-правового отдела Департамента инвестиций Томской области

13

Главный специалист финансово-правового отдела Департамента инвестиций Томской области

 

 

 

 

Приложение № 9 к приказу

от 05.08.2016 № 13

 

УТВЕРЖДАЮ

Начальник Департамента

инвестиций Томской области

 

___________________А.С. Федченко

 

ПЕРЕЧЕНЬ

должностных обязанностей, включаемых в должностной регламент должностного лица, ответственного за организацию обработки персональных данных в Департаменте инвестиций Томской области

 

1. Должностное лицо, ответственное за организацию обработки персональных данных в Департаменте инвестиций Томской области (далее – Ответственный за обработку персональных данных), назначается распоряжением начальника Департамента инвестиций Томской области из числа государственных гражданских служащих, относящихся к ведущей группе должностей категории «руководители» Департамента инвестиций Томской области в соответствии с распределением обязанностей.

2. Ответственный за обработку персональных данных в своей деятельности руководствуется законодательством Российской Федерации в области персональных данных и другими правовыми актами в сфере персональных данных.

2. Ответственный за обработку персональных данных обязан:

1)  организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Департаменте инвестиций Томской области от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

2) осуществлять внутренний контроль за соблюдением сотрудниками Департамента инвестиций Томской области законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3) доводить до сведения работников Департамента инвестиций Томской области положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;

5) в случае нарушения в Департаменте инвестиций Томской области требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

3. Ответственный за обработку персональных данных вправе:

1) иметь доступ к информации, касающейся обработки персональных данных в Департаменте инвестиций Томской области и включающей:

- цели обработки персональных данных;

- категории обрабатываемых персональных данных;

- категории субъектов, персональные данные которых обрабатываются;

- правовые основания обработки персональных данных;

- перечень действий с персональными данными, общее описание используемых в Департаменте инвестиций Томской области способов обработки персональных данных;

- описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

- дату начала обработки персональных данных;

- срок или условия прекращения обработки персональных данных;

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;

2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Департаменте инвестиций Томской области, иных государственных гражданских служащих Департамента инвестиций Томской области с возложением на них соответствующих обязанностей и закреплением ответственности.

3. При обработке персональных данных должностному лицу, ответственному за обработку персональных данных в Департаменте инвестиций Томской области, запрещается:

1) использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке и выступлениях;

2) передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта и т.п.) без использования сертифицированных средств криптографической защиты информации;

3) снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные, без разрешения начальника Департамента инвестиций Томской области;

4) выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из здания, где находится Департамент инвестиций Томской области, без разрешения начальника Департамента инвестиций Томской области.

4. Допуск Ответственного за обработку персональных данных в Департаменте инвестиций Томской области, к работе с персональными данными осуществляется после изучения им требований нормативных правовых актов по защите информации и подписания обязательства о соблюдении режима конфиденциальности персональных данных.

5. Ответственный за обработку персональных данных в Департаменте инвестиций Томской области несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных в Департаменте инвестиций Томской области в соответствии с положениями законодательства Российской Федерации в области персональных данных.

 

Приложение № 10 к приказу

от 05.08.2016 № 13

 

УТВЕРЖДАЮ

Начальник Департамента

инвестиций Томской области

 

___________________А.С. Федченко

 

Типовая форма

согласия субъекта персональных данных на обработку персональных данных в Департаменте инвестиций Томской области

Я, _________________________________________________________________,

                                                            (фамилия, имя, отчество)

паспорт (иной документ, удостоверяющий личность) __________________________,

    (серия, номер,

________________________________________________________________________,

    кем и когда выдан)

проживающий(ая) по адресу:_______________________________________________,

     (указать адрес проживания)

в  соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в целях:

________________________________________________________________________

(указать цели обработки персональных данных)

даю согласие

________________________________________________________________________

 (указать наименование структурного подразделения)

на сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, распространение (размещение на официальном сайте Департамента инвестиций Томской области информации о результатах проведения конкурса с указанием только фамилии, имени, отчества), предоставление, доступ, обезличивание, блокирование, удаление и уничтожение своих персональных данных:

________________________________________________________________________,

(указать обрабатываемые персональные данные)

совершаемые  с использованием средств автоматизации или без использования таких средств.

Подтверждаю, что ознакомлен(а) с правилами обработки персональных данных Департамента инвестиций Томской области, утвержденными приказом Департамента инвестиций Томской области от _______________ № _________________, права и обязанности в области защиты персональных данных мне разъяснены.

Настоящее  согласие  действует до истечения определяемых в соответствии с федеральным законодательством и законодательством Томской области сроков хранения персональных данных.

Оставляю за собой право отзыва данного согласия по моему письменному заявлению. Всю  ответственность за  неблагоприятные последствия отзыва согласия беру на себя.

 

___________________/_______________

                                                   (дата)                  (подпись)

 

    Письменное согласие субъекта персональных данных получил(а):

 

__________________________    __________________ __________________________

       (должность)                 (подпись)              (Ф.И.О)

                                                                                                         ________________

                                                                                                           (дата)

 

Приложение № 11 к приказу

от 05.08.2016 № 13

 

УТВЕРЖДАЮ

Начальник Департамента

инвестиций Томской области

 

___________________А.С. Федченко

 

Типовая форма

разъяснения субъекту персональных данных юридических последствий

               отказа предоставить свои персональные данные

 

Уважаемый(-ая), ____________________________________________________!

(имя, отчество (последнее при наличии)

 

В соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» уведомляем Вас, что обязанность предоставления Вами персональных данных установлена ___________________________________ Федерального закона (пункт, статья, часть)

_____________________________________________________________________________________________________,

                 (реквизиты и наименование федерального закона)

а также следующими нормативными актами _______________________________________________________________

______________________________________________________________________________________________________

                                 (указываются реквизиты и наименования таких нормативных актов)

______________________________________________________________________________________________________

______________________________________________________________________________________________________

В случае отказа Вами предоставить свои персональные данные Департамент инвестиций Томской области не сможет на законных основаниях осуществлять такую обработку, что приведет к следующим для Вас юридическим последствиям

_____________________________________________________________________________________________________.

    (перечислить юридические последствия для субъекта персональных данных)

_____________________________________________________________________________________________________

_____________________________________________________________________________________________________

В соответствии с действующим законодательством Российской Федерации в области персональных данных Вы имеете право:

  • на получение сведений о Департаменте инвестиций Томской области как операторе, осуществляющем обработку Ваших персональных данных (в объеме, необходимом для защиты своих прав и законных интересов по вопросам обработки своих персональных данных), о месте нахождения оператора и о наличии у него своих персональных данных, а также на ознакомление с такими персональными данными;
  • подавать запрос на доступ к своим персональным данным;
  • требовать безвозмездного предоставления возможности ознакомления со своими персональными данными, а также внесения в них необходимых изменений, их уничтожения или блокирования при предоставлении сведений, подтверждающих, что такие персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • получать уведомления по вопросам обработки персональных данных в установленных действующим законодательством Российской Федерации случаях и сроки;
  • требовать от Департамента инвестиций Томской области разъяснения порядка защиты субъектом персональных данных своих прав и законных интересов;
  • обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

    __________________ ____________________________________________________

                                           (должность, фамилия и инициалы)

                                                                                               __________________________________

                                                                                                              (подпись)

                                                                                                __________________________________

                                                                                                                                (дата)

 

 

 

Приложение № 12 к приказу

от 05.08.2016 № 13

 

УТВЕРЖДАЮ

Начальник Департамента

инвестиций Томской области

 

___________________А.С. Федченко

 

ПОРЯДОК

доступа лиц, замещающих государственные должности Томской области, государственных гражданских служащих Томской области, лиц, замещающих должности, не являющиеся должностями государственной гражданской службы Томской области, в помещения Департамента инвестиций Томской области, в которых ведётся обработка персональных данных

 

1. Основные положения

  1. Настоящий Порядок разработан в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
  2. Настоящий Порядок устанавливает единые требования к доступу в служебные помещения в целях предотвращения нарушения прав субъектов персональных данных и обеспечения соблюдения требований законодательства о персональных данных при их обработке (в том числе хранении) путем создания условий, затрудняющих несанкционированный доступ к техническим средствам, участвующим в обработке персональных данных, и материальным носителям персональных данных и обязателен для применения и исполнения всеми лицами, замещающими государственные должности Томской области, государственными гражданскими служащими Томской области, лицами, замещающими должности, не являющиеся должностями государственной гражданской службы Томской области (далее – сотрудники).
  3. В терминах настоящего Порядка под правом доступа в помещение понимается возможность посещения помещения без нарушения принятых норм и регламентов, не зависящая от воли других лиц.
  4. Ознакомлению с настоящим Порядком подлежат все сотрудники, имеющие право доступа в помещения, в которых установлены технические средства, участвующие в обработке персональных данных, или хранятся материальные носители персональных данных (далее - помещения, в которых осуществляется обработка персональных данных), а также руководители структурных подразделений (отделов), сотрудники которых осуществляют обработку персональных данных.

2. Организация доступа в помещения, в которых

осуществляется обработка персональных данных сотрудников

2.1. Самостоятельный доступ в помещения, в которых осуществляется обработка персональных данных, разрешается лицам, включенным в перечень лиц, имеющих право доступа в данные помещения (далее - перечень).

2.2. Перечень актуализируется лицом, ответственным за организацию обработки персональных данных в Департаменте инвестиций Томской области. Перечень утверждается начальником Департамента инвестиций Томской области.

2.3. Лица, не включенные в перечень (в том числе другие сотрудники, сторонние лица, технический персонал), имеют право находиться в помещении, в котором осуществляется обработка персональных данных, только в присутствии лица, имеющего право доступа в данное помещение в соответствии с перечнем.

2.4. При необходимости включения сотрудника в перечень (либо изменении его прав на доступ в помещения, в которых осуществляется обработка персональных данных) непосредственный руководитель сотрудника обращается к лицу, ответственному за организацию обработки персональных данных в Департаменте инвестиций Томской области.

2.5. При включении сотрудника в перечень лицо, ответственное за организацию обработки персональных данных, обеспечивает ознакомление сотрудника с настоящим Порядком.

2.6. При необходимости исключения сотрудника из перечня (в связи с его увольнением, переводом на другую должность, предоставлением ему рабочего места в другом помещении) непосредственный руководитель сотрудника уведомляет лицо, ответственное за организацию обработки персональных данных, и обеспечивает изъятие ключей от помещения (помещений), в котором (которых) осуществляется обработка персональных данных, у сотрудника в случае, если ключи ему были выданы.

3. Требования, обеспечивающие соблюдение режима доступа

в помещения, в которых осуществляется обработка

персональных данных сотрудников

3.1. Доступ в помещения, в которых осуществляется обработка персональных данных, разрешается только в рабочее время. Входные двери оборудуются замками, гарантирующими надежное закрытие помещений в нерабочее время.

3.2. Доступ в помещения, в которых осуществляется обработка персональных данных, в нерабочее время возможен только по письменной заявке сотрудника, согласованной с его непосредственным руководителем и имеющей разрешающую резолюцию уполномоченного сотрудника. Данные заявки хранятся у лица, ответственного за организацию обработки персональных данных, их копии передаются лицам, осуществляющим охрану здания Департамента инвестиций Томской области.

3.3. Последний сотрудник, покидающий помещение, в котором осуществляется обработка персональных данных, обязан закрыть его на ключ, при этом запрещается оставлять ключ в замке указанного помещения.

3.4. Лица, имеющие право доступа в помещение, в котором осуществляется обработка персональных данных, несут ответственность за недопущение пребывания в указанном помещении сотрудников, не имеющих права доступа в данное помещение, и сторонних лиц в отсутствие лиц, имеющих право доступа в данное помещение.

3.5. Вскрытие помещений, где ведется обработка персональных данных, производят сотрудники, работающие в этих помещениях.

3.6. При отсутствии сотрудников, работающих в этих помещениях, помещения могут быть вскрыты комиссией, созданной по указанию ответственного за обработку персональных данных в Департаменте инвестиций Томской области.

3.7. При обнаружении повреждений замков или других признаков, указывающих на возможное проникновение посторонних лиц в помещения, в которых ведется обработка персональных данных, эти помещения не вскрываются, а составляется акт и о случившемся немедленно ставятся в известность ответственный за обработку персональных данных в Департаменте инвестиций Томской области и правоохранительные органы. Одновременно принимаются меры по охране места происшествия и до прибытия работников правоохранительных органов в эти помещения никто не допускается.

3.8. В случае нарушения настоящего Порядка сотрудники могут быть привлечены к дисциплинарной ответственности.

4. Контроль за соблюдением настоящего Порядка

4.1. Текущий контроль за соблюдением настоящего Порядка осуществляется руководителями структурных подразделений Департамента инвестиций Томской области, сотрудники которых обрабатывают персональные данные (как с использованием средств автоматизации, так и без их использования).

Лица, осуществляющие текущий контроль за соблюдением настоящего Порядка, самостоятельно обеспечивают его соблюдение, а в случае серьезного или неоднократного нарушения неким лицом настоящего Порядка незамедлительно уведомляют лицо, ответственное за организацию обработки персональных.

4.2. Лицо, ответственное за организацию обработки персональных данных, в случае установления факта нарушения сотрудником настоящего Порядка проводит с указанным сотрудником разъяснительную работу, а в случае неоднократного нарушения инициирует привлечение сотрудника к дисциплинарной ответственности.