МИНИСТЕРСТВО СТРОИТЕЛЬСТВА, ЖИЛИЩНО-КОММУНАЛЬНОГО ХОЗЯЙСТВА И ЭНЕРГЕТИКИ РЕСПУБЛИКИ КАРЕЛИЯ

ПРИКАЗ

от 19 декабря 2022 года N 529

Об утверждении порядка работы с персональными данными в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия и документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных"

В соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

приказываю:

1. Утвердить:

Положение об обработке и защите персональных данных в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия согласно приложению N 1 к настоящему приказу;

Положение об организации работы с персональными данными государственного гражданского служащего Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия и ведении его личного дела согласно приложению N 2 к настоящему приказу;

Положение об организации работы с персональными данными лица, замещающего должность руководителя учреждения (организации), подведомственного Министерству строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия, и ведении его личного дела согласно приложению N 3 к настоящему приказу;

Правила работы с обезличенными персональными данными в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия согласно приложению N 4 к настоящему приказу;

Перечень должностей государственных гражданских служащих Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, согласно приложению N 5 к настоящему приказу;

Правила рассмотрения запросов субъектов персональных данных или их законных представителей в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия согласно приложению N 6 к настоящему приказу;

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия согласно приложению N 7 к настоящему приказу;

Порядок доступа работников Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия в помещения, в которых ведется обработка персональных данных, согласно приложению N 8 к настоящему приказу.

2. Назначить Коновалова Андрея Владимировича, ведущего специалиста отдела финансирования и инвестиций Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия, ответственным за обеспечение защиты персональных данных в государственных информационных системах и информационных системах персональных данных, используемых в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия.

3. Руководителям структурных подразделений Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия, в которых производится обработка персональных данных, обеспечить:

- выполнение мероприятий по защите информации, содержащей персональные данные, размещенной на материальных носителях информации, в соответствии с Положением об обработке и защите персональных данных в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия;

- контроль выполнения требований, установленных Положением об обработке и защите персональных данных в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия;

- соблюдение конфиденциальности персональных данных, обрабатываемых сотрудниками подразделения.

4. Отделу финансирования и инвестиций (Коновалову А.В.) ознакомить с настоящим приказом всех сотрудников Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия.

5. Признать утратившим силу приказ Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия N 9-к от 1 августа 2013 года "Об утверждении положения об организации работы с персональными данными работников Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия".

6. Контроль за исполнением настоящего приказа возложить на первого заместителя Министра строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия Банковского Павла Викторовича.

Министр
В.В.Россыпнов

Приложение N 1 к приказу
Министерства строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия
от 19 декабря 2022 года N 529

Положение об обработке и защите персональных данных в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия

I. Общие положения

1. Настоящее Положение об обработке и защите персональных данных в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - Положение) имеет своей целью закрепление механизмов обеспечения прав граждан, государственных гражданских служащих Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия, лиц, замещающих должности руководителей подведомственных Министерству строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия учреждений и организаций, а также членов их семей (далее - Субъект) на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах их жизни.

2. Настоящее Положение определяет порядок сбора, хранения, передачи и любого другого использования персональных данных Субъектов в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - Министерство) в соответствии с законодательством Российской Федерации и гарантии конфиденциальности предоставленных сведений о Субъектах.

3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", иными нормативными правовыми актами, действующими на территории Российской Федерации.

4. Оператором персональных данных (далее - Оператор) является Министерство.

5. Настоящее Положение не распространяется на отношения, возникающие при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

II. Основные понятия

6. Понятия, используемые в настоящем Положении, применяются в значениях, определенных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", а также:

защита персональных данных - защита от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

матрица доступа - таблица, отображающая правила разграничения доступа пользователей к ресурсам информационной системы;

материальные носители информации - бумага или электронные съемные носители информации (жесткие диски, флэш-накопители, флэш-память, лазерные диски);

представитель Субъекта - физическое лицо, обладающее законным правом представлять Субъекта в случае его недееспособности, несовершеннолетия или в иных установленных федеральными законами случаях;

информационная система персональных данных или государственная информационная система (далее - ИСПДн/ГИС) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

7. В Министерстве обрабатываются персональные данные:

а) граждан:

- фамилия, имя, отчество;

- пол;

- год, месяц, число и место рождения;

- сведения о гражданстве;

- паспортные данные;

- информация, содержащаяся в страховом пенсионном свидетельстве;

- информация о полисе обязательного медицинского страхования;

- сведения о составе семьи;

- сведения о социальных гарантиях;

- сведения о состоянии здоровья, наличии инвалидности;

- номера личных телефонов или сведения о других способах связи;

- адрес регистрации, адрес места жительства, адрес временной регистрации;

- сведения о банковском счете с указанием наименования банка, БИК банка, ИНН банка, корреспондентского счета банка;

- сведения, содержащиеся в записи акта о смерти (дата, причина);

- другие предусмотренные законодательством Российской Федерации персональные данные;

б) государственных гражданских служащих, замещающих должности государственной гражданской службы Республики Карелия в Министерстве, лиц, замещающих должности руководителей подведомственных Министерству учреждений и организаций, а также граждан, подающих документы для участия в конкурсе на замещение должности государственной гражданской службы и представляющих документы при назначении на должность:

- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);

- пол;

- год, месяц, число и место рождения;

- сведения о гражданстве;

- паспортные данные;

- сведения о паспорте гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;

- сведения о воинской обязанности и воинском учете;

- сведения о предыдущем(их) месте(ах) работы и (или) службы;

- сведения о трудовом и общем стаже;

- информация о трудовой деятельности;

- семейное положение;

- сведения о составе семьи;

- сведения об основном месте работы или службы, занимаемой должности супруги (супруга) и несовершеннолетних детей, в случае отсутствия основного места работы или службы - род занятий;

- сведения о близких родственниках (в том числе бывших);

- социальное и имущественное положение;

- сведения о заработанной плате, иных выплатах, связанных с оплатой труда;

- сведения о банковском счете, на который перечисляется денежное содержание и иные выплаты, связанные с оплатой труда с указанием наименования банка, БИК банка, ИНН банка, корреспондентского счета банка;

- сведения о социальных гарантиях;

- информация о полисе обязательного медицинского страхования;

- адрес места жительства, адрес места регистрации, в случае переездов - адреса в других республиках, краях, областях, странах;

- номера личных телефонов или сведения о других способах связи;

- содержание служебного контракта;

- информация, содержащаяся в страховом пенсионном свидетельстве;

- информация об идентификационном номере налогоплательщика;

- информация, содержащаяся в свидетельствах государственной регистрации актов гражданского состояния;

- сведения о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания;

- информация о владении иностранными языками, степень владения;

- сведения о пребывании за границей;

- сведения о награждении государственными наградами Российской Федерации, Почетной грамотой Президента Российской Федерации, об объявлении благодарности Президента Российской Федерации, присвоении почетных, воинских и специальных званий, присуждении государственных премий;

- сведения о награждении государственными наградами Республики Карелия;

- сведения о поощрениях;

- сведения о применении дисциплинарного взыскания до его снятия или отмены;

- сведения о служебных проверках, их результатах;

- сведения об отстранении от замещаемой должности гражданской службы;

- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также сведения о доходах, расходах, об имуществе и обязательствах имущественного характера супруга (супруги) и несовершеннолетних детей;

- сведения о счетах в банках и иных кредитных организациях;

- сведения о ценных бумагах;

- информация о наличии или отсутствии судимости, в том числе близких родственников;

- информация об оформленных допусках к государственной тайне;

- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

- сведения о командировках;

- сведения о классных чинах, военных и специальных званиях;

- сведения о прохождении и результатах аттестации;

- сведения о соблюдении установленных законом ограничений, запретов, требований к служебному поведению;

- сведения об исполнении обязанностей гражданского служащего;

- сведения о кредитах и займах (размер и срок погашения);

- сведения, содержащиеся в листках нетрудоспособности;

- сведения о наличии обязательств по исполнительным листам;

- сведения о прохождении диспансеризации;

- сведения об отсутствии заболевания, препятствующего поступлению на гражданскую службу или ее прохождению (о состоянии здоровья для лиц, замещающих должности руководителей подведомственных Министерству строительства, жилищно-коммунального хозяйства и энергетике Республики Карелия учреждений и организаций);

- данные об изображении лица;

- другие, предусмотренные законодательством Российской Федерации, персональные данные.

III. Порядок обработки персональных данных

8. Общие требования при обработке персональных данных:

а) обработка персональных данных должна осуществляться на законной и справедливой основе в целях обеспечения защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Не допускается создание баз данных по инициативе работников Оператора;

б) при обработке персональных данных должны быть обеспечены их точность, достаточность и, в необходимых случаях, актуальность по отношению к целям обработки;

в) персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда Субъекту, затруднения реализации прав и свобод Субъекта. При принятии решений, затрагивающих интересы Субъекта, порождающих юридические последствия, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного отправления, если иное не предусмотрено федеральным законом;

г) руководители и специалисты Министерства должны быть ознакомлены под подпись с документами Оператора, устанавливающими порядок обработки персональных данных Субъектов, а также их права и обязанности в этой области;

д) правила обработки и использования персональных данных, включая сроки хранения содержащих персональные данные оригиналов документов, копий документов на материальных носителях информации и ИСПДн/ГИС, устанавливаются правовыми актами Оператора, а также нормативными правовыми актами Российской Федерации;

е) персональные данные защищаются принятием или обеспечением правовых, организационных и технических мер в соответствии с нормативными правовыми актами Российской Федерации, рекомендациями регулирующих органов в области защиты информации, а также утвержденными правовыми актами Оператора.

9. Порядок получения персональных данных:

Все персональные данные следует получать непосредственно от Субъекта или его представителя. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Согласие на обработку персональных данных может быть дано Субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Письменное согласие Субъекта на обработку персональных данных требуется при их включении в общедоступные источники, а также в иных случаях, установленных федеральным законом. Рекомендуемая форма заявления - согласия Субъекта на обработку персональных данных представлена в приложениях N 1 и N 2 к настоящему Положению.

Согласие Субъекта не требуется, если обработка персональных данных осуществляется в целях, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, необходима для предоставления государственной или муниципальной услуги, для обеспечения предоставления такой услуги на едином портале государственных и муниципальных услуг, а также в иных предусмотренных федеральными законами случаях.

Согласие на обработку персональных данных может быть отозвано Субъектом или его представителем. Рекомендуемая форма отзыва согласия на обработку персональных данных Субъекта (представителя) представлена в приложениях N 3 и N 4 к настоящему Положению.

В случае отзыва Субъектом персональных данных или его представителем согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта или его представителя в предусмотренных федеральным законом случаях.

Оператор может получить необходимые персональные данные Субъекта у третьей стороны только с согласия Субъекта или его представителя на обработку его персональных данных или без согласия в случаях, указанных в пункте 3.2.4 настоящего Положения. Рекомендуемая форма согласия на получение персональных данных у третьей стороны представлена в приложении N 5 к настоящему Положению.

Запрещается получать и обрабатывать персональные данные Субъекта о его политических, религиозных, философских убеждениях, интимной жизни, расовой, национальной принадлежности, состоянии здоровья, за исключением случаев, предусмотренных федеральными законами.

Согласие Субъекта, являющегося государственным гражданским служащим, на обработку его персональных данных Оператором осуществляется в письменной форме, приведенной в приложении N 6 к настоящему Положению.

10. Порядок хранения персональных данных:

Хранение персональных данных Субъектов может осуществляться на учтенных электронных носителях информации на серверах и компьютерах, входящих в состав локальной вычислительной сети Министерства, бумажных носителях информации, с соблюдением предусмотренных нормативными правовыми актами Российской Федерации правовых, организационных и технических мер по защите персональных данных.

Хранение персональных данных Субъектов должно осуществляться в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект.

11. Порядок передачи персональных данных:

Оператор обязан не раскрывать и не распространять персональные данные Субъекта третьей стороне без согласия Субъекта или его представителя, за исключением случаев, предусмотренных федеральными законами. Рекомендуемая форма заявления - согласия Субъекта (представителя) на передачу его персональных данных третьей стороне содержится в приложении N 7 к настоящему Положению.

Передача персональных данных, в том числе с использованием электронной почты и информационно-телекоммуникационной сети Интернет, должна осуществляться с применением необходимых и достаточных мер по их защите (конфиденциальности). Перечень мер, направленных на обеспечение защиты персональных данных, определяется нормативными правовыми актами Российской Федерации и организационно-распорядительными документами Министерства.

12. Порядок доступа к персональным данным:

1) Доступ к обрабатываемым Оператором персональным данным в ИСПДн/ГИС могут иметь:

- непосредственный руководитель структурного подразделения Министерства, в котором обрабатываются персональные данные, в целях их обработки и/или контроля за их обработкой;

- администраторы ИСПДн/ГИС, назначаемые приказами Министерства для каждой ИСПДн/ГИС, в целях обеспечения обработки персональных данных и в рамках исполнения своих должностных обязанностей;

- администратор безопасности информации Министерства, назначаемый приказом Министерства, в целях обеспечения безопасности персональных данных и в рамках исполнения своих должностных обязанностей;

- пользователи ИСПДн/ГИС, назначаемые приказом Министерства для каждой ИСПДн/ГИС и осуществляющие обработку персональных данных в целях исполнения своих должностных обязанностей.

Субъект или его представитель, в целях реализации прав на доступ к персональным данным Субъекта, предусмотренных федеральным законодательством;

2) Доступ к обрабатываемым Оператором персональным данным вне ИСПДн/ГИС могут иметь руководители и специалисты Министерства в целях исполнения своих должностных обязанностей и/или назначенные приказами Министерства;

3) Организационно-распорядительные документы Министерства, содержащие информацию о предоставлении доступа к персональным данным в ИСПДн/ГИС для руководителей и специалистов Министерства, должны включать в себя информацию:

- об основании и цели обработки персональных данных;

- о правах доступа (чтение, запись, модификация) и о перечне ресурсов ИСПДн/ГИС, к которым предоставлен доступ (матрица доступа);

- о назначении ответственного за обработку персональных данных;

- о назначении администратора ИСПДн/ГИС;

4) Все специалисты структурных подразделений Министерства, имеющие доступ к персональным данным Субъектов, обязаны подписать соглашение о неразглашении персональных данных. Рекомендуемая форма соглашения о неразглашении персональных данных Субъекта представлена в приложении N 8 к настоящему Положению;

5) В Договорах/соглашениях с юридическими и физическими лицами, которые получают в рамках исполнения договора/соглашения доступ к персональным данным, обрабатываемым Министерством, должны быть указаны требования соблюдения этими лицами конфиденциальности персональных данных;

6) Доступ Субъекта или его представителя к персональным данным Субъекта обеспечивается Оператором при личном обращении Субъекта или его представителя либо при получении запроса Субъекта или его представителя в письменной форме или электронной форме, подписанной электронной подписью в соответствии с законодательством Российской Федерации. При личном обращении Субъект или его представитель обязан предоставить документ, удостоверяющий личность. В запросе Субъект или его представитель обязан указать номер основного документа, удостоверяющего личность Субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта или его представителя в отношениях с Оператором, и иные сведения, предусмотренные федеральным законом.

13. Уничтожение персональных данных:

Персональные данные Субъектов хранятся не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, а также в иных случаях, определенных федеральными законами.

Документы на бумажных носителях, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном законодательством Российской Федерации.

Порядок уничтожения персональных данных, находящихся на материальных носителях, а также в ИСПДн/ГИС, определяется нормативными правовыми актами Министерства.

IV. Права и обязанности Субъектов персональных данных и Оператора

14. Права и обязанности Субъектов и Оператора определяются в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

15. Для защиты персональных данных Субъектов Оператор обязан:

- за свой счет обеспечить правовую, организационную и техническую защиту персональных данных Субъекта от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;

- назначить лицо, ответственное за организацию обработки персональных данных, которое должно осуществлять внутренний контроль за соблюдением Оператором законодательства Российской Федерации о персональных данных;

- ознакомить руководителей, специалистов и работников Министерства с настоящим Положением под роспись;

- осуществлять передачу персональных данных Субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

- предоставлять персональные данные Субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством Российской Федерации;

- обеспечить безвозмездно и в доступной форме ознакомление Субъекта или его представителя с информацией, касающейся обработки персональных данных Субъекта, включая доступ к персональным данным Субъекта, с правовым основанием и целью обработки персональных данных, сроками обработки и хранения, а также с иной информацией, предусмотренной федеральным законом;

- по требованию Субъекта или его представителя в установленный федеральным законом срок уточнить, заблокировать или уничтожить персональные данные Субъекта, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- разъяснить Субъекту или его представителю, если предоставление персональных данных является обязательным в соответствии с федеральным законом, юридические последствия отказа предоставления его персональных данных;

- до начала обработки персональных данных, полученных не от Субъекта (представителя), предоставить Субъекту информацию об обработке персональных данных Субъекта, предусмотренную федеральным законом.

16. Оператор не вправе без письменного согласия Субъекта или его представителя передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.

17. Руководители структурных подразделений Министерства обязаны обеспечить защиту персональных данных, обрабатываемых в своих подразделениях.

V. Контроль и надзор за обработкой персональных данных осуществляют

18. Уполномоченным органом по защите прав Субъектов, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

19. Уполномоченным органом в области обеспечения безопасности информации, противодействия техническим разведкам и технической защиты информации, включая персональные данные, является Федеральная служба по техническому и экспортному контролю России.

20. Уполномоченным органом в области обеспечения безопасности информации, передаваемой с помощью криптографических средств защиты информации, является Федеральная служба безопасности Российской Федерации.

VI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

21. Руководители структурных подразделений Министерства несут персональную ответственность за защиту персональных данных в своих подразделениях.

22. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.

Приложение N 1 к Положению
об обработке и защите
персональных данных
в Министерстве строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия

Приложение N 2 к Положению
об обработке и защите
персональных данных
в Министерстве строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия

Приложение N 3 к Положению
об обработке и защите
персональных данных
в Министерстве строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия

Приложение N 4 к Положению
об обработке и защите
персональных данных
в Министерстве строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия

Приложение N 5 к Положению
об обработке и защите
персональных данных
в Министерстве строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия

Приложение N 6 к Положению
об обработке и защите
персональных данных
в Министерстве строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия

Приложение N 7 к Положению
об обработке и защите
персональных данных
в Министерстве строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия

Приложение N 8 к Положению
об обработке и защите
персональных данных
в Министерстве строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия

Приложение N 2 к приказу
Министерства строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия
от 19 декабря 2022 года N 529

Положение об организации работы с персональными данными государственного гражданского служащего Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия и ведении его личного дела

I. Общие положения

1. Настоящим Положением об организации работы с персональными данными государственного гражданского служащего Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия и ведении его личного дела (далее - Положение) определяется порядок получения, обработки, хранения, передачи, уничтожения и любого другого использования персональных данных государственного гражданского служащего Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - гражданский служащий), а также ведения его личного дела в соответствии со статьей 42 Федерального закона от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" и другими нормативными правовыми актами Российской Федерации.

2. В настоящем Положении используются понятия в смысле, определенном Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

II. Обработка персональных данных

1. Представитель нанимателя в лице Министра строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - Министр) обеспечивает защиту персональных данных гражданского служащего, содержащихся в его личном деле, от неправомерного использования или утраты.

2. Министр определяет лиц Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - Министерство), уполномоченных на обработку персональных данных гражданского служащего (далее - уполномоченные лица) в соответствии с требованиями Федеральных законов от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 27 июля 2006 года N 152-ФЗ "О персональных данных", других нормативных правовых актов Российской Федерации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

3. Оператором персональных данных (далее - Оператор) является Министерство.

4. При получении, обработке, хранении и передаче персональных данных гражданского служащего Оператор обязан соблюдать следующие требования:

а) обработка персональных данных гражданского служащего осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, Трудового кодекса Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия гражданскому служащему в прохождении государственной гражданской службы Российской Федерации (далее - гражданская служба), в обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества государственного органа, учета результатов исполнения им должностных обязанностей;

б) персональные данные следует получать лично у гражданского служащего. В случае возникновения необходимости получения персональных данных гражданского служащего у третьей стороны следует известить об этом гражданского служащего заранее, получить его письменное согласие и сообщить гражданскому служащему о целях, предполагаемых источниках и способах получения персональных данных;

в) запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

г) при принятии решений, затрагивающих интересы гражданского служащего, запрещается основываться на персональных данных гражданского служащего, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

д) защита персональных данных гражданского служащего от неправомерного их использования или утраты обеспечивается за счет средств государственного органа в порядке, установленном федеральными законами;

е) передача персональных данных гражданского служащего третьей стороне не допускается без письменного согласия гражданского служащего, за исключением случаев, установленных федеральным законодательством;

ж) обеспечение конфиденциальности персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

з) в случае выявления недостоверных персональных данных гражданского служащего или неправомерных действий с ними уполномоченных при обращении или по запросу физических лиц, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных, Оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему гражданскому служащему, с момента такого обращения или получения такого запроса на период проверки;

и) в случае подтверждения факта недостоверности персональных данных гражданского служащего Оператор на основании документов, представленных физическим лицом, являющимся субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;

к) в случае выявления неправомерных действий с персональными данными Оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить гражданского служащего, являющегося субъектом персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;

л) хранение персональных данных должно осуществляться в форме, позволяющей определить гражданского служащего, являющегося субъектом персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении за исключением персональных данных, подлежащих обязательному временному или постоянному хранению в соответствии со сроками, установленными действующим законодательством.

5. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

6. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:

а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных федеральным законом;

в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации". Гражданский служащий при отказе оператора исключить или исправить его персональные данные имеет право заявить в письменной форме Министру или начальнику отдела государственной службы и кадров Министерства о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера гражданский служащий имеет право дополнить заявлением, выражающим его собственную точку зрения;

г) требовать от Министра или начальника отдела государственной службы и кадров Министерства уведомления всех лиц, которым ранее были сообщены неверные или неполные их персональные данные, обо всех произведенных в них изменениях или исключениях из них;

д) обжаловать в суд любые неправомерные действия или бездействие представителя нанимателя или уполномоченного им лица при обработке и защите персональных данных гражданского служащего.

7. Лицо, виновное в нарушении норм, регулирующих получение, обработку, хранение и передачу персональных данных другого гражданского служащего, несет ответственность в соответствии с Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации" и другими федеральными законами.

8. В соответствии со статьей 15 Федерального закона от 27 мая 2003 года N 58-ФЗ "О системе государственной службы Российской Федерации" на основе персональных данных гражданских служащих в Министерстве формируются и ведутся, в том числе на электронных носителях, реестры гражданских служащих.

Отделом государственной службы и кадров Министерства обеспечивается их защита от несанкционированного доступа и копирования.

Техническую защиту информационных систем персональных данных осуществляет Администратор безопасности Министерства.

9. Уполномоченные должностные лица отдела государственной службы и кадров вправе подвергать обработке (в том числе автоматизированной) персональные данные гражданских служащих при формировании кадрового резерва.

10. В обязанности отдела государственной службы и кадров Министерства, осуществляющего ведение личных дел гражданских служащих, входит:

а) приобщение документов к личным делам гражданских служащих;

б) обеспечение сохранности личных дел гражданских служащих;

в) обеспечение конфиденциальности сведений, содержащихся в личных делах гражданских служащих, в соответствии с Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", другими федеральными законами, иными нормативными правовыми актами Российской Федерации, а также в соответствии с настоящим Положением;

г) ознакомление гражданского служащего с документами своего личного дела не реже одного раза в год, а также по просьбе гражданского служащего и во всех иных случаях, предусмотренных законодательством Российской Федерации.

11. В случае отказа гражданина представить свои персональные данные при поступлении на государственную гражданскую службу субъекту персональных данных разъясняются юридические последствия отказа и им заполняется типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в связи с поступлением на государственную гражданскую службу в Министерство строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия в соответствии с приложением N 1 к настоящему Положению.

Приложение к Положению
об организации работы
с персональными данными
государственного гражданского служащего
Министерства строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия
и ведении его личного дела

Приложение N 3 к приказу
Министерства строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия
от 19 декабря 2022 года N 529

Положение об организации работы с персональными данными лица, замещающего должность руководителя учреждения (организации), подведомственного Министерству строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия, и ведении его личного дела

I. Общие положения

1. Настоящим Положением об организации работы с персональными данными лица, замещающего должность руководителя учреждения (организации), подведомственного Министерству строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия, и ведении его личного дела (далее - Положение) определяется порядок получения, обработки, хранения, передачи, уничтожения и любого другого использования персональных данных лица, замещающего должность руководителя учреждения (организации), подведомственного Министерству строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - руководитель), а также ведения его личного дела в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и другими нормативными правовыми актами Российской Федерации.

2. В настоящем Положении используются понятия в смысле, определенном Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

II. Обработка персональных данных

1. Министерство строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - работодатель) обеспечивает защиту персональных данных руководителя, содержащихся в его личном деле, от неправомерного использования или утраты.

2. Работодатель определяет лиц, уполномоченных на обработку персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", других нормативных правовых актов Российской Федерации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

3. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных руководителя обязаны соблюдать следующие общие требования:

а) обработка персональных данных руководителя может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия руководителю в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности руководителя, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

б) при определении объема и содержания, обрабатываемых персональных данных руководителя работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;

в) все персональные данные следует получать непосредственно от руководителя. Если персональные данные руководителя возможно получить только у третьей стороны, то руководитель должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить руководителю о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа руководителя дать письменное согласие на их получение;

г) работодатель не имеет права получать и обрабатывать сведения о руководителе, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации и другими федеральными законами;

д) работодатель не имеет права получать и обрабатывать персональные данные руководителя о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;

е) при принятии решений, затрагивающих интересы руководителя, работодатель не имеет права основываться на персональных данных руководителя, полученных исключительно в результате их автоматизированной обработки или электронного получения;

ж) защита персональных данных руководителя от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами;

з) руководитель и его представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных руководителя, а также об их правах и обязанностях в области персональных данных.

4. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

5. Отделом государственной службы и кадров Министерства обеспечивается защита персональных данных руководителей от несанкционированного доступа и копирования.

6. Формирование личного дела руководителя производится с целью упорядоченной группировки документированной информации о руководителе, переданной им работодателю при оформлении трудовых отношений для работы в соответствующей должности. Формирование (последующее ведение и оформление) личных дел руководителей возлагается на отдел государственной службы и кадров Министерства. Личное дело руководителя формируется после заключения трудового договора и издания приказа о приеме на работу.

К личному делу руководителя приобщаются:

а) письменное заявление о приеме на работу (при наличии);

б) согласие на обработку персональных данных;

в) справка-объективка (при наличии);

г) копия паспорта или иного документа, удостоверяющего личность;

д) копия страхового свидетельства обязательного пенсионного страхования;

е) копия свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;

ж) копии документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

з) копия документа об образовании и (или) о квалификации или наличии специальных знаний;

и) копия трудовой книжки, за исключением случаев, когда трудовой договор заключается впервые, или документа, подтверждающего прохождение военной или иной службы;

к) копии актов гражданского состояния;

л) копии решений о награждении государственными наградами Российской Федерации и (или) Республики Карелия, Почетной грамотой Президента Российской Федерации, об объявлении благодарности Президента Российской Федерации, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются);

м) справки о доходах, расходах, об имуществе и обязательствах имущественного характера;

н) экземпляр трудового договора, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в трудовой договор;

о) копия должностной инструкции;

п) копия приказа Министерства о приеме на работу;

р) копии решений о поощрении руководителя, а также о наложении на него дисциплинарного взыскания;

с) копия приказа Министерства о расторжении трудового договора (увольнении);

т) иные документы, представленные в интересах руководителя, которые могут повлиять на предоставление руководителю льгот, гарантий, предусмотренных законодательством Российской Федерации или на надлежащее исполнение им должностных обязанностей.

7. В целях обеспечения защиты персональных данных, хранящихся в личных делах, руководители имеют право на:

- полную информацию об их персональных данных и обработке этих данных;

- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные руководителя, за исключением случаев, предусмотренных федеральным законом;

- определение своих представителей для защиты своих персональных данных;

- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона. При отказе работодателя исключить или исправить персональные данные руководителя он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера руководитель имеет право дополнить заявлением, выражающим его собственную точку зрения;

- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные руководителя, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

8. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных руководителя, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Приложение N 4 к приказу
Министерства строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия
от 19 декабря 2022 года N 529

Правила работы с обезличенными персональными данными в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия

1. Настоящие правила работы с обезличенными персональными данными в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", приказом Роскомнадзора от 5 сентября 2013 года N 996 "Об утверждении требований и методов по обезличиванию персональных данных" и определяют порядок работы с обезличенными персональными данными в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - Министерство).

2. В Министерстве могут применяться следующие методы обезличивания персональных данных:

- метод введения идентификаторов;

- метод изменения состава или семантики;

- метод декомпозиции;

- метод перемешивания.

2.1. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами с созданием таблицы соответствия идентификаторов исходным данным.

Метод обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- семантическая целостность;

- применимость.

Оценка свойств метода:

- обратимость: метод позволяет провести процедуру деобезличивания;

- вариативность: метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания;

- изменяемость: метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания;

- стойкость: метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных;

- возможность косвенного деобезличивания: метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов;

- совместимость: метод позволяет интегрировать записи, соответствующие отдельным атрибутам;

- параметрический объем: объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию;

- возможность оценки качества данных: метод позволяет проводить анализ качества обезличенных данных.

Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.

2.2. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.

Метод обеспечивает следующие свойства обезличенных данных:

- структурированность;

- релевантность;

- применимость;

- анонимность.

Оценка свойств метода:

- обратимость: метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных;

- вариативность: метод не позволяет изменять параметры метода без проведения предварительного деобезличивания;

- изменяемость: метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания;

- стойкость: стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных;

- возможность косвенного деобезличивания: метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов;

- совместимость: метод не обеспечивает интеграции с данными, обезличенными другими методами;

- параметрический объем: параметры метода определяются набором правил изменения состава или семантики персональных данных;

- возможность оценки качества данных: метод не позволяет проводить анализ, использующий конкретные значения персональных данных.

Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.

При этом возможны использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (например - средние значения).

2.3. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.

Метод обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- релевантность;

- семантическая целостность;

- применимость.

Оценка свойств метода:

- обратимость: метод позволяет провести процедуру деобезличивания;

- вариативность: метод позволяет изменить параметры декомпозиции без предварительного деобезличивания;

- изменяемость: метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания;

- стойкость: метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений;

- возможность косвенного деобезличивания: метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов;

- совместимость: метод обеспечивает интеграцию с данными, обезличенными другими методами;

- параметрический объем: определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах;

- возможность оценки качества данных: метод позволяет проводить анализ качества обезличенных данных.

Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.

2.4. Метод перемешивания реализуется путем перестановки отдельных записей, а также групп записей между собой.

Метод обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- релевантность;

- семантическая целостность;

- применимость;

- анонимность.

Оценка свойств метода:

- обратимость: метод позволяет провести процедуру деобезличивания;

- вариативность: метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания;

- изменяемость: метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания;

- стойкость: длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию;

- возможность косвенного деобезличивания: метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов;

- совместимость: метод позволяет проводить интеграцию с данными, обезличенными другими методами;

- параметрический объем: зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию;

- возможность оценки качества данных: метод позволяет проводить анализ качества обезличенных данных.

Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.

Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.

3. Обезличенные персональные данные могут обрабатываться с использованием средств автоматизации и без использования таковых.

4. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

- парольной политики;

- антивирусной политики;

- правил резервного копирования;

- правил доступа в помещения, где расположены элементы информационных систем.

5. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

- правил хранения бумажных носителей;

- правил доступа к бумажным носителям и в помещения, где они хранятся.

Приложение N 5 к приказу
Министерства строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия
от 19 декабря 2022 года N 529

Перечень должностей государственных гражданских служащих Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных

1. Первый заместитель Министра строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия;

2. Заместители Министра строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия;

3. Заместитель Министра строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия - главный архитектор Республики Карелия;

4. Начальник отдела финансирования и инвестиций;

5. Начальник отдела расселения аварийного жилья и капитального ремонта;

6. Начальник отдела организационного и правового обеспечения;

7. Заместитель начальника отдела организационного и правового обеспечения;

8. Начальник отдела строительства и реализации жилищных программ;

9. Начальник отдела градостроительного планирования и контроля за соблюдением законодательства о градостроительной деятельности;

10. Начальник отдела жилищно-коммунального хозяйства.

Приложение N 6 к приказу
Министерства строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия
от 19 декабря 2022 года N 529

Правила рассмотрения запросов субъектов персональных данных или их законных представителей в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия

1. Рассмотрение запросов субъектов персональных данных или их законных представителей в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - Министерство, оператор) осуществляется в соответствии с требованиями статьи 14 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

2. Субъект персональных данных (далее - Субъект ПДн) или его законный представитель имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Субъекта ПДн Министерством;

2) правовые основания и цели обработки персональных данных Субъекта ПДн;

3) цели и применяемые оператором способы обработки персональных данных Субъекта ПДн;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным Субъекта ПДн или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему Субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных Субъекта ПДн, в том числе сроки их хранения;

7) порядок осуществления Субъектом ПДн прав, предусмотренных законодательством Российской Федерации;

8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных Субъекта ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;

9) информацию о способах исполнения Министерством обязанностей, установленных ст. 18.1 Федерального закона "О персональных данных";

10) иные сведения, предусмотренные законодательством Российской Федерации.

3. Право Субъекта ПДн на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ Субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.

4. Сведения предоставляются Субъекту ПДн или его представителю Министерством в течение десяти рабочих дней с момента обращения либо получения Министерством запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным способом подтверждающие факт обработки персональных данных оператором, подпись Субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Министерство предоставляет сведения Субъекту Пдн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

5. В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления Субъекту ПДн по его запросу, Субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПДн.

6. Субъект ПДн вправе обратиться повторно к оператору или направить ему повторный вопрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцатидневного срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

7. Министерство вправе отказать Субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивирован.

8. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем Субъекте ПДн или персональных данных Субъекту ПДн или его представителю при их обращении либо при получении запроса Субъекта ПДн или его представителя Министерство обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 Федерального закона "О персональных данных" или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения Субъекта ПДн или его представителя либо с даты получения запроса Субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Министерством в адрес Субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

9. Министерство обязано предоставить безвозмездно Субъекту ПДн или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления Субъектом ПДн или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Министерство обязано внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления Субъектом ПДн или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Министерство обязано уничтожить такие персональные данные. Министерство обязано уведомить Субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Приложение N 7 к приказу
Министерства строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия
от 19 декабря 2022 года N 529

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия

1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - Министерство) проводятся периодические проверки условий обработки персональных данных.

2. Проверки обработки персональных данных проводятся комиссией по проведению проверки условий обработки персональных данных (далее - Комиссия), состав которой утверждается приказом Министерства.

3. Проверки условий обработки персональных данных проводятся на основании утвержденного Министром строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия ежегодного плана мероприятий по организации защиты информации в Министерстве строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (плановая проверка) или на основании поступившей в Министерство информации о нарушениях правил обработки персональных данных (внеплановые проверки).

Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях правил обработки персональных данных.

4. В проведении проверки условий обработки персональных данных не могут участвовать государственные гражданские служащие Министерства, прямо или косвенно заинтересованные в ее результатах.

5. Проверки условий обработки персональных данных осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест государственных гражданских служащих Министерства, участвующих в процессе обработки персональных данных.

6. При проведении проверки условий обработки персональных данных должны быть полностью, объективно и всесторонне установлены:

- порядок и условия применения организационных и технических мер, необходимых для выполнения требований по защите персональных данных;

- порядок и условия применения средств защиты информации;

- эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;

- состояние учета носителей персональных данных;

- соблюдение правил доступа к персональным данным;

- соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

7. Комиссия имеет право:

- запрашивать у государственных гражданских служащих Министерства информацию, необходимую для реализации полномочий Комиссии;

- требовать от государственных гражданских служащих Министерства, осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

- вносить Министру строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия предложения о:

- совершенствовании правового, технического и организационного обеспечения безопасности персональных данных при их обработке;

- приостановлении или прекращении обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

- привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации о персональных данных.

8. Члены Комиссии должны обеспечивать конфиденциальность ставших им известными в ходе проведения мероприятий внутреннего контроля персональных данных.

9. Проверка условий обработки персональных данных должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения о ее проведении.

10. По результатам проведенной проверки условий обработки персональных данных председателем Комиссии представляется Министру строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.

Приложение N 8 к приказу
Министерства строительства,
жилищно-коммунального хозяйства
и энергетики Республики Карелия
от 19 декабря 2022 года N 529

Порядок доступа работников Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия в помещения, в которых ведется обработка персональных данных

1. Настоящий Порядок доступа работников Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия в помещения, в которых ведется обработка персональных данных (далее - Порядок), устанавливает единые требования к доступу работников Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - Министерство) в служебные помещения, в которых ведется обработка персональных данных в целях предотвращения нарушения прав субъектов персональных данных, обрабатываемых в Министерстве, и обеспечения соблюдения требований законодательства Российской Федерации о персональных данных.

2. Настоящий Порядок обязателен для применения и исполнения всеми работниками Министерства.

3. В помещениях, в которых ведется обработка персональных данных, имеют право самостоятельно находиться только работники Министерства, включенные в "Перечень лиц, допущенных к самостоятельному нахождению в защищаемом помещении Министерства строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия", утвержденный Министром строительства, жилищно-коммунального хозяйства и энергетики Республики Карелия (далее - Перечень).

4. Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не включенных в Перечень, возможно только в присутствии лиц, включенных в Перечень, и на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных, предоставлением государственных услуг, осуществлением государственных функций.

5. В целях обеспечения соблюдения требований к ограничению доступа в служебные помещения, в которых ведется обработка персональных данных Министерства, обеспечиваются:

- использование служебных помещений строго по назначению;

- наличие на входах в служебные помещения дверей, оборудованных запорными устройствами;

- содержание дверей служебных помещений в нерабочее время в закрытом на запорное устройство состоянии;

- остекление окон в здании Министерства, содержание их в нерабочее время в закрытом состоянии.

6. Для служебных помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.

При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

7. Ответственность за соблюдение порядка доступа в служебные помещения, в которых ведется обработка персональных данных, возлагается на начальников структурных подразделений, осуществляющих обработку персональных данных.

Текст первоначальной редакции документа сверен по:
официальная рассылка