Министерство промышленности и торговли Российской Федерации
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
ПРИКАЗ
от 11 июля 2019 года N 1628
О персональных данных Федерального агентства по техническому регулированию и метрологии, его межрегиональных территориальных управлений и подведомственных организаций
В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2009, N 48, ст.5716; N 52, ст.6439; 2010, N 27, ст.3407; N 31, ст.4173, ст.4196; N 49, ст.6409; N 52, ст.6974; 2011, N 23, ст.3263; N 31, ст.4701; 2013, N 14, ст.1651; N 30, ст.4038; N 51, ст.6683; 2014, N 23, ст.2927; N 30, ст.4217, ст.4243; 2016, N 27, ст.4164; 2017, N 9, ст.1276; N 27, ст.3945; N 31, ст.4772; 2018, N 1, ст.82) и подпунктом "б" пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (Собрание законодательства Российской Федерации, 2012, N 14, ст.1626; 2013, N 30, ст.4116; 2014, N 37, ст.4967; 2019, N 16, ст.1957),
приказываю:
1. Утвердить:
Правила обработки персональных данных в Федеральном агентстве по техническому регулированию и метрологии согласно приложению N 1 к настоящему приказу;
Правила рассмотрения запросов субъектов персональных данных или их представителей в Федеральном агентстве по техническому регулированию и метрологии согласно приложению N 2 к настоящему приказу;
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора, согласно приложению N 3 к настоящему приказу;
Правила работы с обезличенными данными в случае обезличивания персональных данных в Федеральном агентстве по техническому регулированию и метрологии согласно приложению N 4 к настоящему приказу;
Перечень информационных систем персональных данных Федерального агентства по техническому регулированию и метрологии согласно приложению N 5 к настоящему приказу;
Перечень персональных данных, обрабатываемых в Федеральном агентстве по техническому регулированию и метрологии в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных функций, согласно приложению N 6 к настоящему приказу;
Перечень должностей федеральных государственных гражданских служащих Федерального агентства по техническому регулированию и метрологии, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных согласно приложению N 7 к настоящему приказу;
Перечень должностей федеральной государственной гражданской службы Федерального агентства по техническому регулированию и метрологии, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, согласно приложению N 8 к настоящему приказу;
Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению N 9 к настоящему приказу;
Типовое обязательство федерального государственного гражданского служащего Федерального агентства по техническому регулированию и метрологии, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, согласно приложению N 10 к настоящему приказу;
Типовую форму согласия на обработку персональных данных федерального государственного гражданского служащего Федерального агентства по техническому регулированию и метрологии, а также иных субъектов персональных данных согласно приложению N 11 к настоящему приказу;
Порядок доступа федеральных государственных гражданских служащих Федерального агентства по техническому регулированию и метрологии в помещения, в которых ведется обработка персональных данных, согласно приложению N 12 к настоящему приказу.
2. Контроль исполнения настоящего приказа возложить на заместителя Руководителя Федерального агентства по техническому регулированию и метрологии Б.М.Потемкина.
Руководитель
А.В.Абрамов
Зарегистрировано
в Министерстве юстиции
Российской Федерации
7 октября 2019 года,
регистрационный N 56161
Правила обработки персональных данных в Федеральном агентстве по техническому регулированию и метрологии
1. Правила обработки персональных данных в Федеральном агентстве по техническому регулированию и метрологии (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Федеральном агентстве по техническому регулированию и метрологии (далее - Агентство), находящихся в ведении Агентства межрегиональных территориальных управлениях (далее - МТУ), а также в подведомственных Агентству организациях.
2. Агентство как оператор осуществляет обработку персональных данных, определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
3. К категориям субъектов, персональные данные которых обрабатываются в соответствии с Правилами, относятся федеральные государственные гражданские служащие Агентства (далее - гражданские служащие) и члены их семей, руководители и работники МТУ и подведомственных Агентству организаций и члены их семей, граждане, претендующие на замещение вакантных должностей федеральной государственной гражданской службы в Агентстве (далее - гражданская служба) и должностей руководителей МТУ и подведомственных Агентству организаций, и члены их семей, граждане, в том числе являющиеся представителями организаций, обратившиеся в Агентство в связи с исполнением Агентством государственных функций, а также в связи с реализацией их права на обращение в Агентство (далее - граждане).
4. В Агентстве персональные данные могут обрабатываться в целях:
1) осуществления статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2009, N 48, ст.5716; N 52, ст.6439; 2010, N 27, ст.3407; N 31, ст.4173, ст.4196; N 49, ст.6409; N 52, ст.6974; 2011, N 23, ст.3263; N 31, ст.4701; 2013, N 14, ст.1651; N 30, ст.4038; N 51, ст.6683; 2014, N 23, ст.2927; N 30, ст.4217, ст.4243; 2016, N 27, ст.4164; 2017, N 9, ст.1276; N 27, ст.3945; N 31, ст.4772; 2018, N 1, ст.82) (далее - Федеральный закон "О персональных данных");
2) выполнения возложенных на Агентство функций, полномочий и обязанностей.
5. В целях, указанных в подпункте 1 пункта 4 Правил, обрабатываются персональные данные, перечисленные в пунктах 2-18 перечня персональных данных, обрабатываемых в Федеральном агентстве по техническому регулированию и метрологии в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных функций (приложение N 6 к настоящему приказу) (далее - Перечень).
6. В целях, указанных в подпункте 2 пункта 4 Правил, обрабатываются персональные данные, перечисленные в пунктах 1-38 Перечня.
7. Обработка персональных данных в Агентстве осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.
8. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Агентстве используются следующие процедуры:
осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
оценка вреда, который может быть причинен категориям субъектов, персональные данные которых обрабатываются;
ознакомление гражданских служащих, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, Правилами и (или) обучение гражданских служащих;
ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
недопущение обработки персональных данных, несовместимых с целями сбора персональных данных;
недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
9. Персональные данные, полученные Агентством на бумажном и/или электронном носителях, хранятся в соответствующих структурных подразделениях Агентства, к полномочиям которых относится обработка персональных данных, в соответствии с положениями об этих структурных подразделениях.
10. Сроки хранения персональных данных в Агентстве определяются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Министерства культуры Российской Федерации от 25 августа 2010 г. N 558 (зарегистрирован Министерством юстиции Российской Федерации 8 сентября 2010 г., регистрационный N 18380), с изменениями, внесенными приказом Министерства культуры Российской Федерации от 16 февраля 2016 г. N 403 (зарегистрирован Министерством юстиции Российской Федерации 15 марта 2016 г., регистрационный N 41414).
11. Персональные данные хранятся в электронном виде в автоматизированных информационных системах.
12. Сроки хранения персональных данных в автоматизированных информационных системах Агентства определяются в соответствии с Перечнем типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения, утвержденным приказом Министерства культуры и массовых коммуникаций Российской Федерации от 31 июля 2007 г. N 1182 (зарегистрирован в Министерстве юстиции Российской Федерации 27 сентября 2007 г., регистрационный N 10194) с изменениями, внесенными приказом Министерства культуры и массовых коммуникаций Российской Федерации от 28 апреля 2011 г. N 412 (зарегистрирован в Министерстве юстиции Российской Федерации 20 мая 2011 г., регистрационный N 20831).
13. Хранение личных дел лиц, уволенных с гражданской службы, руководителей МТУ и подведомственных Агентству организаций осуществляется в соответствии с Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденным Указом Президента Российской Федерации от 30 мая 2005 г. N 609 (Собрание законодательства Российской Федерации, 2005, N 23, ст.2242; 2008, N 43, ст.4921; 2014, N 27, ст.3754).
14. Документы, содержащие персональные данные на бумажном носителе, по истечении срока хранения в структурном подразделении, указанном в пункте 9 Правил, передаются на последующее хранение в архив Агентства.
15. Если сроки обработки и хранения персональных данных не установлены федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то обработка и хранение персональных данных категорий субъектов, персональные данные которых обрабатываются в Агентстве, перечисленных в пункте 3 Правил, осуществляются не дольше, чем этого требуют цели их обработки и хранения.
16. Персональные данные при их обработке, осуществляемой без использования автоматизированных информационных систем, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
17. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях персональных данных, обработка которых осуществляется в целях, определенных Правилами.
18. Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению.
19. Документы, содержащие персональные данные, на бумажном носителе передаются в архив Агентства для уничтожения в соответствии с Правилами организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в органах государственной власти, органах местного самоуправления и организациях, утвержденными приказом Министерства культуры Российской Федерации от 31 марта 2015 г. N 526 (зарегистрирован Министерством юстиции Российской Федерации 7 сентября 2015 г., регистрационный N 38830).
20. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
Правила рассмотрения запросов субъектов персональных данных или их представителей в Федеральном агентстве по техническому регулированию и метрологии
1. Правила рассмотрения запросов субъектов персональных данных или их представителей в Федеральном агентстве по техническому регулированию и метрологии (далее - Правила) определяют порядок рассмотрения запросов субъектов персональных данных или их представителей.
2. Право на получение информации, касающейся обработки своих персональных данных в Федеральном агентстве по техническому регулированию и метрологии (далее - Агентство), имеют следующие субъекты персональных данных:
1) федеральные государственные гражданские служащие Агентства (далее - гражданские служащие);
2) граждане, претендующие на замещение вакантных должностей федеральной государственной гражданской службы в Агентстве и должностей руководителей МТУ и подведомственных Агентству организаций;
3) работники организаций, подведомственных Агентству;
4) граждане, в том числе являющиеся представителями организаций, обратившиеся в Агентство в связи с исполнением Агентством государственных функций, а также в связи с реализацией их права на обращение в Агентство.
3. Субъекты персональных данных, указанные в пункте 2 Правил, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;