УТВЕРЖДЕНО

приказом Верховного суда

Республики Адыгея

от 29 декабря 2023 г. № 115 - ОД

ПОЛОЖЕНИЕ

об обработке и защите персональных данных судей, государственных гражданских служащих и персонала по охране и обслуживанию зданий Верховного суда Республики Адыгея, иных лиц

1. Общие положения

1.1. Настоящее Положение является локальным нормативным актом Верховного суда Республики Адыгея (далее – Суд), разработано в соответствии Конституцией Российской Федерации, главой 14 Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных), Указом Президента Российской Федерации от 30.05.2005№609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела», Закона Российской Федерации от 26.06.1992 № 3132-1 «О статусе судей в Российской Федерации», Федерального закона от 27.05.2003 №58-ФЗ «О системе государственной службы Российской Федерации», Федерального закона от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации», Федерального закона от27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и другими нормативно-правовыми актами.

1.2. В Положении устанавливаются:

- цель, порядок и условия обработки персональных данных;

- категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;

- положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также на устранение последствий таких нарушений.

1.3. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.

1.4. Положение вступает в силу с момента его утверждения приказом председателя Суда и действует до его отмены приказом председателя Суда или до введения нового Положения. Все сотрудники Суда должны быть ознакомлены с настоящим Положением под роспись.

1.5. Внесение изменений в Положение производится приказом председателя Суда. Изменения вступают в силу с момента подписания соответствующего приказа.

2. Категории субъектов персональных данных

2.1. К субъектам, персональные данные которых обрабатываются в Суде в соответствии с Положением, относятся:

- кандидаты для назначения на должности государственных гражданских служащих Суда – лица, принимающие участие в конкурсе на замещение вакантных должностей;

- кандидаты для назначения на должности судей Верховного суда Республики Адыгея, районных судов Республики Адыгея – лица, сдающие экзамен на должность судьи и принимающие участие в конкурсе на замещение вакантных должностей судей районных судов Республики Адыгея, мировых судей Республики Адыгея;

- судьи, государственные гражданские служащие, персонал по охране и обслуживанию зданий Суда;

- судьи в отставке;

- члены семей судей, судей в отставке;

- члены семей работников Суда - в случаях, когда согласно законодательству сведения о них предоставляются работником;

- лица, являющиеся участниками судебного процесса, возмещение издержек и оплата которым осуществляется за счет средств федерального бюджета;

- члены постоянно действующих комиссий Суда, члены органов судейского сообщества, представляющие интересы общественности;

- лица, с которыми заключены договоры на целевого обучение, а также лица, проходящие обучение по договорам о сотрудничестве;

- иные лица, персональные данные которых Суд обязан обрабатывать в соответствии со статьей 6 Закона о персональных данных, иными нормативно-правовыми актами.

3. Цели обработки персональных данных,

категории (перечни) обрабатываемых персональных данных

3.1. Согласно Положению персональные данные обрабатываются с целью применения и исполнения трудового законодательства и законодательства о прохождении государственной гражданской службы в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе:

- при содействии в трудоустройстве;

- при ведении кадрового и бухгалтерского учета;

- при содействии работникам в получении образования и продвижении по службе;

- при оформлении награждений и поощрений;

- при предоставлении со стороны Суда установленных законодательством условий труда, гарантий и компенсаций;

- при заполнении и передаче в уполномоченные органы требуемых форм отчетности;

- при обеспечении личной безопасности работников и сохранности имущества;

- при осуществлении контроля за количеством и качеством выполняемой работы.

3.2. В соответствии с целью, указанной в п. 3.1 Положения, в Суде обрабатываются следующие персональные данные:

- фамилия, имя, отчество (при наличии), а также прежние фамилия, имя, отчество (при наличии), дата и место их изменения (в случае изменения);

- пол;

- дата (число, месяц, год) и место рождения;

- фотографическое изображение;

- сведения о гражданстве;

- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

- страховой номер индивидуального лицевого счета (СНИЛС);

- идентификационный номер налогоплательщика (ИНН);

- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

- номер контактного телефона, адрес электронной почты и (или) сведения о других способах связи;

- реквизиты свидетельств о государственной регистрации актов гражданского состояния и содержащиеся в них сведения;

- сведения о семейном положении, составе семьи (степень родства, фамилии, имена, отчества (при наличии), даты (число, месяц, год) и места рождения);

- сведения об образовании и (или) квалификации или наличии специальных знаний (в том числе наименование образовательной и (или) иной организации, год окончания, уровень образования, квалификация, реквизиты документа об образовании, обучении);

- информация о владении иностранными языками;

- сведения об отношении к воинской обязанности, о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документа, наименование органа, выдавшего его);

- сведения о трудовой деятельности, а также информация о предыдущих местах работы, периодах и стаже работы;

- сведения о доходах, обязательствах по исполнительным документам;

- банковские реквизиты субъекта персональных данных;

- сведения о состоянии здоровья;

- сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;

- сведения, размещенные в телекоммуникационной сети «Интернет», позволяющие идентифицировать субъекта обработки персональных данных;

- иные персональные данные, содержащиеся в документах, представление которых предусмотрено законодательством, если обработка этих данных соответствует цели обработки, предусмотренной п. 3.1 Положения;

- иные персональные данные, которые работник пожелал сообщить о себе и обработка которых соответствует цели обработки, предусмотренной п. 3.1 Положения.

3.3. Суд не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

4. Порядок и условия обработки персональных данных

4.1. В соответствии со ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» Суд обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.

4.2. Правовым основанием обработки персональных данных являются Трудовой кодекс Российской Федерации, Закон Российской Федерации от26.06.1992 №3132-1 «О статусе судей в Российской Федерации», Федеральный закон от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации», иные нормативные правовые акты, содержащие нормы трудового права, Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных», Закон Российской Федерации от19.04.1991 № 1032-1 «О занятости населения в Российской Федерации», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Постановление Правительства Российской Федерации от 27.11.2006 № 719 «Об утверждении Положения о воинском учете», иные нормативно-правовые акты.

4.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.

4.4. Обработка персональных данных в Суде выполняется следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

4.5. Обработка персональных данных в Суде осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.

4.5.1.Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных.

Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.

4.5.2. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных. Исключение составляют ситуации, предусмотренные ч. 2 ст. 11 Закона о персональных данных.

4.6. Суд не осуществляет трансграничную передачу персональных данных.

4.7. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.

4.7.1. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Суде осуществляются посредством:

- получения оригиналов документов либо их копий;

- копирования (сканирования) оригиналов документов;

- внесения сведений в учетные формы на бумажных и электронных носителях;

- создания документов, содержащих персональные данные, на бумажных и электронных носителях;

- внесения персональных данных в информационные системы персональных данных.

4.7.2. В Суде используются следующие информационные системы:

- корпоративная электронная почта;

- система электронного документооборота, в том числе ГАС «Правосудие»;

- система поддержки рабочего места пользователя;

- система нормативно-справочной информации;

- информационный портал.

4.8. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.

5. Сроки обработки и хранения персональных данных

5.1. Обработка персональных данных в Суде прекращается в следующих случаях:

- при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;

- при достижении целей их обработки (за некоторыми исключениями);

- по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных (за некоторыми исключениями), если в соответствии с Законом о персональных данных их обработка допускается только с согласия;

- при обращении субъекта персональных данных к Суду с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более десяти рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если направлено уведомление о причинах продления).

5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

5.3. Персональные данные на бумажных носителях хранятся в Суде в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. приказом Росархива от 20.12.2019 № 236)).

5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

6. Порядок блокирования и уничтожения персональных данных

6.1. Суд блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.

6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.

6.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.

6.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления неправомерной обработки.

6.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Судом либо если Суд не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.

6.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иное соглашение между ним и Судом. Кроме того, персональные данные уничтожаются в указанный срок, если Суд не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Суда, обрабатывающие персональные данные.

6.8. Уничтожение персональных данных осуществляет комиссия, создаваемая приказом председателя Суда.

6.8.1. Комиссия составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.

6.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

6.8.3. Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении.

7. Доступ к персональным данным

7.1. Суд вправе разрешать доступ к персональным данным субъектов только уполномоченным лицам, определенным законодательством Российской Федерации, ведомственными актами Судебного департамента при Верховном Суде Российской Федерации и локальными актами Суда, при этом указанные лица должны иметь право получать доступ только к тем персональным данным субъектов, которые необходимы для выполнения конкретных функций в соответствии с должностными обязанностями и полномочиями.

7.2. Право доступа к персональным данным с условиями выполнения всех требований по обработке и защите персональных данных субъектов в соответствии с настоящим Положением и законодательством Российской Федерации, имеют:

- председатель Суда (на период его отсутствия - лицо его замещающее);

- председатели, члены, секретари соответствующих Комиссий – в рамках компетенции Комиссии;

- гражданские служащие Суда в обязанности которых входит работа с персональными данными, согласно приказа председателя Суда;

- субъект персональных данных – в отношении своих персональных данных.

7.3. К числу внешних получателей персональных данных (в рамках своей компетенции) в случае, когда персональные данные передаются (могут передаваться) с согласия и без согласия субъекта в соответствии с законодательством Российской Федерации, отнесены следующие функциональные структуры:

- органы статистики;

- отделы военного комиссариата;

- Фонд пенсионного и социального страхования Российской Федерации;

- Управление Федерального Казначейства по Республики Адыгея;

- иные органы, полномочия которых по работе с персональными данными закреплены законодательством Российской Федерации.

7.3.1. При назначении субъекта персональных данных на должность государственной гражданской службы в другом государственном органе его личное дело передается по запросу в другой государственный орган по новому месту замещения должности гражданской службы.

7.3.2. При назначении субъекта персональных данных на государственную должность Российской Федерации или государственную должность субъекта Российской Федерации его личное дело передается по запросу в государственный орган по месту замещения государственной должности Российской Федерации или государственной должности субъекта Российской Федерации.

7.3.3. Если гражданин, личное дело которого хранится в архиве Суда, поступит вновь на гражданскую службу, то по письменному запросу начальника кадрового подразделения его личное дело подлежит передаче из архива Суда.

8. Защита персональных данных. Процедуры,

направленные на предотвращение и выявление нарушений

законодательства, устранение последствий таких нарушений

8.1. Защита персональных данных представляет собой совокупность технологических процессов, предупреждающих возникновение опасности несанкционированного, в том числе случайного доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке.

8.2. Для защиты персональных данных субъектов, обрабатываемых в информационных системах Суда, необходимо соблюдать и обеспечивать ряд правовых, организационных и технических мер:

- вести строгое избирательное и обоснованное распределение документов информации между работниками Суда;

- обеспечить осведомленность работников Суда о требованиях законодательства Российской Федерации и нормативно-методических документов по защите персональных данных;

- обеспечить необходимые условия в помещениях для работы с документами и базами данных с персональными сведениями в соответствии с требовании безопасности;

- использование технических средств охраны, сигнализации;

- обеспечить проведение разъяснительной работы с сотрудниками подразделений Суда по предупреждению неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- применять необходимые организационные и технические меры по обеспечению безопасности персональных данных при обработке в информационных системах;

- производить регулярную оценку эффективности принимаемых мер по обеспечению безопасности персональных данных и соответствия процессов обработки персональных данных требованиям законодательства Российской Федерации к обработке и защите персональных данных, политике Суда в отношении обработки персональных данных, локальным актам Суда;

- обеспечивать предотвращение, своевременное выявление и устранение нарушения требований безопасности персональных данных;

- обо всех мероприятиях, проводимых по контролю над соблюдением режима защиты персональных данных указывать в журнале учета мероприятий по контролю над соблюдением режима защиты персональных данных (Приложение № 1).

8.3. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов, содержащих персональные данные, в отделах, сотрудники которых, в соответствии с должностными обязанностями вовлечены в обработку персональных данных.

8.4.Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.

8.5. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Суда, в которых они размещаются, оборудуются запирающими устройствами.

8.6. Доступ к персональной информации, содержащейся в информационных системах Суда, осуществляется по индивидуальным паролям.

8.7. В Суде используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

8.9. Работники Суда, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.

8.10. В должностные инструкции работников Суда, обрабатывающих персональные данные, включаются обязанность о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.

8.11. В Суде проводится внутреннее расследование в следующих ситуациях:

- при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;

- в иных случаях, предусмотренных законодательством в области персональных данных.

8.12. Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:

- за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;

- соответствием указанных актов, требованиям законодательства в области персональных данных.

8.12.1. В случае появления информации о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде по решению председателя Суда осуществляется проверка поступившей информации.

8.12.2. По итогам проверки оформляется докладная записка на имя председателя Суда. В случае выявления нарушений в документе приводятся перечень мероприятий по их устранению и соответствующие сроки.

8.13. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).

8.13.1. В случае инцидента Суд в течение 24 часов уведомляет Роскомнадзор:

- об инциденте;

- его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;

- принятых мерах по устранению последствий инцидента, а также направляет контактную информацию о представителе Суда, уполномоченному взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

8.13.2. В течение 72 часов СУД обязан сделать следующее:

- уведомить Роскомнадзор о результатах внутреннего расследования;

- предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

8.14. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Суд уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.

8.15. Суд уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.

8.15.1. В случае уничтожения персональных данных, которые неправомерно обрабатывались, уведомление направляется в соответствии с п. 7.13 Положения.

8.16. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Суд уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Суд уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.

9. Ответственность за нарушение норм, регулирующих

обработку персональных данных

9.1. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами. Кроме того, они привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.

9.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, установленных Законом о персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Приложение № 1

к Положению об обработке и защите персональных данных судей, государственных гражданских служащих и персонала по охране и обслуживанию зданий Верховного суда Республики Адыгея, иных лиц.

Журнал учета мероприятий

по контролю над соблюдением режима защиты персональных данных

№ п/п	Наименование проводимого мероприятия	Дата проводимого мероприятия	Исполнитель мероприятия	Результат (отчет, действия)