Приказ комитета по молодежной политике Ленинградской области от 24.10.2023 N О-14/2023 "Об утверждении организационно-распорядительных документов комитета по молодежной политике Ленинградской области как оператора персональных данных"



КОМИТЕТ ПО МОЛОДЕЖНОЙ ПОЛИТИКЕ ЛЕНИНГРАДСКОЙ ОБЛАСТИ

ПРИКАЗ
от 24 октября 2023 г. в„– О-14/2023

ОБ УТВЕРЖДЕНИИ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ
КОМИТЕТА ПО МОЛОДЕЖНОЙ ПОЛИТИКЕ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
КАК ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с постановлением Правительства Ленинградской области от 11 сентября 2015 года в„– 358 "Об утверждении типовых организационно-распорядительных документов операторов персональных данных" приказываю:

1. Утвердить организационно-распорядительные документы комитета по молодежной политике Ленинградской области как оператора персональных данных:
1.1. Правила обработки персональных данных в комитете по молодежной политике Ленинградской области согласно приложению 1 к настоящему приказу.
1.2. Правила рассмотрения запросов субъектов персональных данных или их представителей в комитете по молодежной политике Ленинградской области согласно приложению 2 к настоящему приказу.
1.3. Правила осуществления внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 в„– 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, правовым актам комитета по молодежной политике Ленинградской области согласно приложению 3 к настоящему приказу.
1.4. Перечень персональных данных, обрабатываемых в комитете по молодежной политике Ленинградской области в связи с реализацией служебных или трудовых отношений согласно приложению 4 к настоящему приказу.
1.5. Перечень должностей работников комитета по молодежной политике Ленинградской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, согласно приложению 5 к настоящему приказу.
1.6. Требования к содержанию должностного регламента ответственного за организацию обработки персональных данных согласно приложению 6 к настоящему приказу.
1.7. Обязательство работника комитета по молодежной политике Ленинградской области, непосредственно осуществляющего обработку персональных данных, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним служебного контракта согласно приложению 7 к настоящему приказу.
1.8. Форму согласия на обработку персональных данных субъектов персональных данных согласно приложению 8 к настоящему приказу.
1.9. Порядок доступа работников комитета по молодежной политике Ленинградской области в помещения, в которых ведется обработка персональных данных, согласно приложению 9 к настоящему приказу.
1.10. Ежегодный план правовых, организационных и технических мер по обеспечению безопасности персональных данных в комитете по молодежной политике Ленинградской области, согласно приложению 10 к настоящему приказу.
2. Ответственными за организацию обработки персональных данных в комитете по молодежной политике Ленинградской области (далее - Комитет) назначить:
- первого заместителя председателя Комитета;
- главного специалиста сектора финансового, правового, информационного обеспечения Комитета, в должностные обязанности которого входит информационное обеспечение Комитета.
3. Сектору организационного и документационного обеспечения Комитета довести приказ до всех работников Комитета под роспись.
4. Признать утратившим силу приказ комитета по молодежной политике Ленинградской области от 18 апреля 2016 года в„– О-10/16-0-0 "Об утверждении Правил обработки персональных данных в комитете по молодежной политике Ленинградской области".
5. Контроль за исполнением настоящего приказа возложить на первого заместителя председателя Комитета.

Председатель комитета
М.А.Григорьева





ПРИЛОЖЕНИЕ 1
к приказу комитета
по молодежной политике
Ленинградской области
от 24.10.2023 в„– О-14/2023

ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ
ПО МОЛОДЕЖНОЙ ПОЛИТИКЕ ЛЕНИНГРАДСКОЙ ОБЛАСТИ

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8. Мерами, направленными на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных в комитете по молодежной политике Ленинградской области (далее - Комитет), являются:
1) назначение ответственных за организацию обработки персональных данных в Комитете;
2) издание документов, определяющих политику в отношении обработки персональных данных, правовых актов Комитета по вопросам обработки персональных данных;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 в„– 152-ФЗ "О персональных данных";
4) осуществление внутреннего контроля и(или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 в„– 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Комитета в отношении обработки персональных данных, правовым актам Комитета;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 в„– 152-ФЗ "О персональных данных", соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 в„– "О персональных данных";
6) выполнение мероприятий по удалению или уточнению неполных или неточных данных;
7) ознакомление работников Комитета, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Комитета в отношении обработки персональных данных, правовыми актами Комитета по вопросам обработки персональных данных и(или) обучение указанных работников.
9. Обеспечение безопасности персональных данных в Комитете достигается:
1) определением угроз безопасности персональных данных;
2) применением организационных и(или) технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных, а также при обработке персональных данных без использования средств автоматизации;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных, а также правил доступа к персональным данным при их обработке без использования средств автоматизации;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также безопасности персональных данных, обрабатываемых без использования средств автоматизации.
10. Цели обработки персональных данных в Комитете определяются с учетом полномочий и функций Комитета.
Обработка персональных данных в соответствии с указанными целями осуществляется в отношении субъектов персональных данных, являющихся сотрудниками Комитета, и(или) субъектов персональных данных, не являющихся сотрудниками Комитета.
11. В соответствии с Федеральным законом от 27.07.2006 в„– 152-ФЗ "О персональных данных" согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Комитетом. В случаях, предусмотренных Федеральным законом от 27.07.2006 в„– 152-ФЗ "О персональных данных", обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
12. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по их запросу, либо по запросу уполномоченного органа по защите прав субъектов персональных данных Комитетом осуществляется блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивается их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя, либо по их запросу, либо по запросу уполномоченного органа по защите прав субъектов персональных данных Комитетом осуществляется блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивается их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
13. В случае подтверждения факта неточности персональных данных Комитет на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
14. В случае выявления неправомерной обработки персональных данных, осуществляемой Комитетом или лицом, действующим по поручению Комитета, Комитет в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Комитета. В случае если обеспечить правомерность обработки персональных данных невозможно, Комитет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Комитет обязан уведомить субъекта персональных данных или его представителя, а в случае если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
15. В случае достижения цели обработки персональных данных Комитет обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) в срок, не превышающий тридцати календарных дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом и субъектом персональных данных, либо если Комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 в„– 152-ФЗ "О персональных данных" или другими федеральными законами.
16. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Комитет обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом и субъектом персональных данных, либо если Комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 в„– 152-ФЗ "О персональных данных" или другими федеральными законами.
17. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 14 - 16 настоящих Правил, Комитет осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета), а также обеспечивает их уничтожение в срок не более шести месяцев, если иной срок не установлен федеральными законами.





ПРИЛОЖЕНИЕ 2
к приказу комитета
по молодежной политике
Ленинградской области
от 24.10.2023 в„– О-14/2023

ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ В КОМИТЕТЕ ПО МОЛОДЕЖНОЙ ПОЛИТИКЕ
ЛЕНИНГРАДСКОЙ ОБЛАСТИ

1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые способы обработки персональных данных;
4) наименование и место нахождения комитета по молодежной политике Ленинградской области (далее - Комитет), сведения о лицах (за исключением работников Комитета), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Комитетом или на основании Федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Комитета, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным от 27.07.2006 в„– 152-ФЗ "О персональных данных" или другими федеральными законами.
2. Субъект персональных данных вправе требовать от Комитета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Сведения предоставляются субъекту персональных данных Комитетом в доступной форме без содержания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Сведения предоставляются субъекту персональных данных или его представителю Комитетом при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Комитетом (номер договора, дата заключения договора, условное словесное обозначение и(или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Комитетом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Комитет или направить повторный запрос в целях ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом от 27.07.2006 в„– 152-ФЗ "О персональных данных", принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Субъект персональных данных вправе обратиться повторно в Комитет или направить ему повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих Правил, в случае если такие сведения и(или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих правил, должен содержать обоснование направления повторного запроса.
7. Комитет вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса возлагается на Комитет.





ПРИЛОЖЕНИЕ 3
к приказу комитета
по молодежной политике
Ленинградской области
от 24.10.2023 в„– О-14/2023

ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ФЕДЕРАЛЬНОМУ ЗАКОНУ
ОТ 27.07.2006 в„– 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ" И ПРИНЯТЫМ
В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМ ПРАВОВЫМ АКТАМ, ТРЕБОВАНИЯМ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПРАВОВЫМ АКТАМ КОМИТЕТА
ПО МОЛОДЕЖНОЙ ПОЛИТИКЕ ЛЕНИНГРАДСКОЙ ОБЛАСТИ

1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в комитете по молодежной политике Ленинградской области (далее - Комитет) организуется проведение периодических проверок условий обработки персональных данных (далее - проверка, проверки).
2. Проверки осуществляются должностными лицами, ответственными за организацию обработки персональных данных в Комитете, либо комиссией, образуемой распоряжением Комитета.
3. В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.
4. Проверки проводятся на основании утвержденного председателем Комитета ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в Комитет письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
План осуществления внутреннего контроля должен включать перечень направлений и(или) мероприятий проверки, периодичность и(или) сроки их проведения, перечисление ответственных лиц за проведение проверки, перечень структурных подразделений и лиц, проверяемых в ходе проверки, примечания.
5. При проведении проверки должны быть полностью, объективно и всесторонне определены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) мероприятия по обеспечению целостности персональных данных.
6. Должностное лицо, ответственное за организацию обработки персональных данных (комиссия), имеет право:
1) запрашивать у должностных лиц Комитета информацию, необходимую для выполнения своих обязанностей;
2) требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации в области обработки персональных данных;
4) представлять председателю Комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) представлять председателю Комитета предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в области обработки персональных данных.
7. В отношении персональных данных, ставших известными должностному лицу, ответственному за организацию обработки персональных данных (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
8. Проверка должна быть завершена не позднее чем через десять дней со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, председателю Комитета докладывает должностное лицо, ответственное за организацию обработки персональных данных, либо председатель комиссии в форме письменного заключения.





ПРИЛОЖЕНИЕ 4
к приказу комитета
по молодежной политике
Ленинградской области
от 24.10.2023 в„– О-14/2023

ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В КОМИТЕТЕ
ПО МОЛОДЕЖНОЙ ПОЛИТИКЕ ЛЕНИНГРАДСКОЙ ОБЛАСТИ В СВЯЗИ
С РЕАЛИЗАЦИЕЙ СЛУЖЕБНЫХ ИЛИ ТРУДОВЫХ ОТНОШЕНИЙ

Персональные данные должностных лиц в Комитете:
фамилия, имя, отчество
пол
дата рождения
место рождения
номера контактных телефонов
сведения о получении профессионального и дополнительного образования (наименование образовательного учреждения, специальность и квалификация по документу об образовании; документ об образовании, квалификации, наименование документа об образовании, его серия и номер, дата выдачи)
сведения о профессиональной переподготовке, повышении квалификации, стажировке
сведения о трудовой деятельности, общем трудовом стаже и стаже государственной гражданской службы
сведения о замещаемой должности
сведения о классных чинах, военных и специальных званиях
сведения об отпусках и командировках
сведения о прохождении аттестации и сдаче квалификационного экзамена
сведения о документах, связанных с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности связано с использованием таких сведений
сведения о награждении (поощрении)
Персональные данные граждан, обрабатываемые в связи с рассмотрением обращений граждан:
фамилия, имя, отчество
адрес места жительства
иные персональные данные, содержащиеся в обращениях граждан
Персональные данные граждан, обрабатываемые при подготовке и оформлении документов по представлению к награждению государственными наградами Российской Федерации, наградами Ленинградской области и присвоению почетных званий Ленинградской области:
фамилия, имя, отчество
пол
дата рождения
место рождения
документ, удостоверяющий личность (серия, номер, когда и кем выдан)
место жительства и дата регистрации по месту жительства
сведения о получении профессионального и дополнительного образования (наименование образовательного учреждения, специальность и квалификация по документу об образовании)
сведения о трудовой деятельности
сведения о замещаемой должности
сведения о прохождении аттестации и сдаче квалификационного экзамена
сведения о награждении (поощрении)
иные персональные данные, содержащиеся в представлениях к награждению





ПРИЛОЖЕНИЕ 5
к приказу комитета
по молодежной политике
Ленинградской области
от 24.10.2023 в„– О-14/2023

ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ РАБОТНИКОВ КОМИТЕТА ПО МОЛОДЕЖНОЙ ПОЛИТИКЕ
ЛЕНИНГРАДСКОЙ ОБЛАСТИ, ЗАМЕЩЕНИЕ КОТОРЫХ ПРЕДУСМАТРИВАЕТ
ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО
ОСУЩЕСТВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ

Наименование структурного комитета по молодежной политике Ленинградской области и должности ответственных лиц
Документ, предусматривающий осуществление обработки персональных данных лицом либо доступ к персональным данным
Первый заместитель председателя комитета по молодежной политике Ленинградской области
должностной регламент
Сектор организационного и документационного обеспечения
консультант
должностной регламент
специалист первой категории
должностной регламент
Отдел увековечения памяти погибших при защите Отечества
Заместитель председателя комитета - начальник отдела
должностной регламент
Консультант
должностной регламент
Главный специалист
должностной регламент
Ведущий специалист
должностной регламент
Специалист первой категории
должностной регламент
Отдел патриотических программ
Начальник отдела
должностной регламент
Главный специалист
должностной регламент
Ведущий специалист
должностной регламент
Отдел приоритетных молодежных проектов и программ
Начальник отдела
должностной регламент
Главный специалист
должностной регламент
Ведущий специалист
должностной регламент
Специалист первой категории
должностной регламент
Сектор финансового, правового, информационного обеспечения
Начальник сектора - главный бухгалтер
должностной регламент
Консультант
должностной регламент
Главный специалист
должностной регламент





ПРИЛОЖЕНИЕ 6
к приказу комитета
по молодежной политике
Ленинградской области
от 24.10.2023 в„– О-14/2023

ТРЕБОВАНИЯ
К СОДЕРЖАНИЮ ДОЛЖНОСТНОГО РЕГЛАМЕНТА ОТВЕТСТВЕННОГО
ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Квалификационные требования.
Знания:
- законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов Российской Федерации и Ленинградской области по вопросам обработки и защиты персональных данных;
- законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
2. Должностные обязанности.
В соответствии с правовым актом комитета по молодежной политике Ленинградской области (далее - Комитет) исполнять обязанности ответственного за обработку персональных данных в Комитете:
2.1. организовывать и контролировать разработку проектов правовых актов Комитета по вопросам обработки персональных данных, а также правовых актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, устранение последствий таких нарушений;
2.2. при обработке персональных данных в информационных системах персональных данных:
- определять перечень организационных и технических мер по обеспечению безопасности персональных данных в соответствии с установленными Правительством Российской Федерации требованиями к защите персональных данных, рекомендациями уполномоченных федеральных органов, уполномоченных органов исполнительной власти Ленинградской области;
2.3. при обработке персональных данных без использования средств автоматизации обеспечивать разработку и представление на рассмотрение председателю Комитета предложений о выполнении требований, установленных постановлением Правительства Российской Федерации от 15.09.2008 в„– 687 "Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
2.4. обеспечивать доведение до сведения работников Комитета, непосредственно осуществляющих обработку персональных данных, положения законодательства Российской Федерации в области персональных данных (в том числе о требованиях к защите персональных данных), правовых актов Комитета и(или) обеспечивать организацию обучения указанных работников;
2.6. обеспечивать уведомление уполномоченного органа по защите прав субъектов персональных данных о намерении Комитета осуществлять обработку персональных данных, изменении сведений, указанных в уведомлении, или о прекращении обработки персональных данных;
2.7. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и(или) осуществлять контроль за приемом и обработкой таких обращений и запросов;
2.8. обеспечивать разработку, представление на утверждение председателю Комитета ежегодного плана правовых, организационных и технических мер по обеспечению безопасности персональных данных в Комитете;
2.9. в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям законодательства Российской Федерации в области персональных данных организовывать проведение периодических проверок условий и безопасности обработки персональных данных. По результатам проведенной проверки представлять председателю комитета служебную записку о результатах проведенных проверок и мерах, необходимых для устранения выявленных нарушений.
3. Ответственность.
За ненадлежащее исполнение или неисполнение возложенных должностных обязанностей, связанных с выполнением требований законодательства Российской Федерации в области персональных данных, ответственный за организацию обработки персональных данных несет ответственность, предусмотренную законодательством Российской Федерации.
4. Показатели эффективности и результативности профессиональной служебной деятельности.
Показателями эффективности и результативности деятельности ответственного за организацию обработки персональных данных являются:
4.1. отсутствие фактов нарушения законодательства Российской Федерации в области персональных данных при исполнении должностных обязанностей ответственного за организацию обработки персональных данных в Комитете;
4.2. достаточность и своевременность разработки предложений о мероприятиях, направленных на обеспечение выполнения Комитетом обязанностей оператора, предусмотренных законодательством Российской Федерации о персональных данных;
4.3. полнота подготовки служебных записок председателю Комитета о результатах проведенных проверок условий обработки персональных данных и мерах, необходимых для устранения выявленных нарушений.





ПРИЛОЖЕНИЕ 7
к приказу комитета
по молодежной политике
Ленинградской области
от 24.10.2023 в„– О-14/2023

Обязательство работника
комитета по молодежной политике Ленинградской области, непосредственно осуществляющего обработку персональных данных, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним служебного контракта

Я,

,
(фамилия, имя, отчество полностью)

(наименование должности и структурного подразделения)
обязуюсь прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта.
В соответствии со статьей 7 Федерального закона от 27.07.2006 в„– 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией, и обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставшие известными мне в связи с исполнением должностных обязанностей.
Я предупрежден(а) о том, что в случае нарушения данного обязательства буду привлечен(а) к ответственности в соответствии с законодательством Российской Федерации.

"___" ____________ 20__ года




(подпись)

(фамилия, инициалы)





ПРИЛОЖЕНИЕ 8
к приказу комитета
по молодежной политике
Ленинградской области
от 24.10.2023 в„– О-14/2023

Форма согласия на обработку персональных данных
субъектов персональных данных

Согласие на обработку персональных данных

Я,

,

(фамилия, имя, отчество субъекта персональных данных или его представителя)


(вид документа, удостоверяющего личность, серия, номер, когда и кем выдан, реквизиты

доверенности или иного документа, подтверждающего полномочия представителя)
настоящим даю согласие на обработку комитетом по молодежной политике Ленинградской области моих персональных данных (персональных данных представляемого) и подтверждаю, что, давая такое согласие, я действую своей волей и в своих интересах (в интересах представляемого).
Согласие дается мною для:


(цель (цели) обработки персональных данных)
Настоящее согласие предоставляется на осуществление любых действий по обработке моих персональных данных (персональных данных представляемого) для достижения указанных целей в соответствии с требованиями, установленными Федеральным законом от 27.07.2006 в„– 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, и действует со дня его подписания и до достижения целей обработки персональных данных, указанных в данном согласии, либо до дня отзыва согласия на обработку персональных данных в письменной форме.

"___" ____________ 20__ года




(подпись)

(фамилия, инициалы)
Предоставленные данные соответствуют предъявленным документам, удостоверяющим личность.





(дата)

(подпись)

(фамилия, инициалы лица, принявшего документ)





ПРИЛОЖЕНИЕ 9
к приказу комитета
по молодежной политике
Ленинградской области
от 24.10.2023 в„– О-14/2023

ПОРЯДОК
ДОСТУПА РАБОТНИКОВ КОМИТЕТА ПО МОЛОДЕЖНОЙ ПОЛИТИКЕ
ЛЕНИНГРАДСКОЙ ОБЛАСТИ В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Персональные данные относятся к категории конфиденциальной информации. Лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2. Перечень должностей работников комитета по молодежной политике Ленинградской области (далее - Комитет), замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждается председателем Комитета.
3. Настоящий порядок определяет правила доступа в помещения, где хранятся и обрабатываются персональные данные, в целях исключения несанкционированного доступа к персональным данным, а также обеспечения безопасности персональных данных от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
4. В помещения, где размещены материальные носители информации, содержащие персональные данные, допускаются только должностные лица Комитета, имеющие доступ к персональным данным.
5. Работники Комитета, имеющие доступ к персональным данным, не должны:
- оставлять в свое отсутствие незапертым помещение, в котором размещены технические средства, позволяющие осуществлять обработку персональных данных;
- оставлять в помещении посторонних лиц, не имеющих доступа к персональным данным в данном структурном подразделении, без присмотра.
6. Для помещений, в которых хранятся и обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации, содержащей персональные данные, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
Указанный режим обеспечивается в том числе:
- обязательным запиранием помещения на ключ даже при выходе из него в рабочее время;
- обязательным запиранием помещения на ключ при выходе из него даже в рабочее время;
- закрытием металлических шкафов и сейфов, где хранятся носители информации, содержащие персональные данные.
7. Доступ в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся материальные носители персональных данных, в случае возникновения непредвиденных обстоятельств в нерабочее время осуществляется сотрудником службы безопасности с записью в журнале вскрытия.
8. Ответственность за соблюдение настоящего Порядка возлагается на руководителей структурных подразделений Комитета, в которых ведется обработка персональных данных и осуществляется их хранение.
9. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных.





ПРИЛОЖЕНИЕ 10
к приказу комитета
по молодежной политике
Ленинградской области
от 24.10.2023 в„– О-14/2023

Ежегодный план
правовых, организационных и технических мер по обеспечению безопасности персональных данных в комитете по молодежной политике Ленинградской области

в„– п/п
Наименование мероприятия
Исполнитель
Сроки выполнения
Отметка о выполнении
1
2
3
4
5
1
Аудит соответствия обработки персональных данных Федеральному закону "О персональных данных"



2
Издание необходимой или актуализация имеющейся организационно-распорядительной документации, определяющей правила обработки персональных данных, а также устанавливающей процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о персональных данных, устранение последствий таких нарушений



3
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"



4
Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных



5
Повышение квалификации (переподготовка) ответственного за обработку персональных данных по вопросам, связанным с исполнением возложенных на него должностных обязанностей



6
Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и при необходимости формирование требований к их защите



7
Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных



8
Проведение внутреннего контроля соответствия организации и состояния работ по выполнению органом исполнительной власти Ленинградской области обязательств в отношении обработки персональных данных, в том числе обеспечению безопасности персональных данных, требованиям правовых актов комитета по молодежной политике Ленинградской области, законодательства Российской Федерации о персональных данных



9
Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных




Ответственный за организацию обработки персональных данных




(подпись)

(фамилия, инициалы)

Председатель комитета




(подпись)

(фамилия, инициалы)

"___" _______________ 20__ года


------------------------------------------------------------------