Основная информация
| Дата опубликования: | 03 августа 2012г. |
| Номер документа: | RU65000201201546 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Сахалинская область |
| Принявший орган: | Министерство образования Сахалинской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ОБРАЗОВАНИЯ САХАЛИНСКОЙ ОБЛАСТИ
ПРИКАЗ
от 03 августа 2012 года №1098-ОД
г. Южно-Сахалинск
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ САХАЛИНСКОЙ ОБЛАСТИ
В целях реализации мер, предусмотренных Федеральным Законом
«О персональных данных» от 27 июля 2006 года № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, направленными на обеспечение выполнения обязанностей оператора персональных данных
ПРИКАЗЫВАЮ:
Утвердить Правила обработки персональных данных в Министерстве образования Сахалинской области (Приложение 1).
Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве образования Сахалинской области (Приложение 2).
Начальникам отделов Сахминобра руководствоваться настоящими Правилами.
Контроль исполнения настоящего приказа оставляю за собой.
Министр Е.А. Сафонов.
ПРИЛОЖЕНИЕ № 1
УТВЕРЖДЕНО
приказом министерства
образования Сахалинской области
от 03.08.2012 № 1098-ОД
Правила
обработки персональных данных
в Министерстве образования Сахалинской области
1. Настоящими Правилами обработки персональных данных в Министерстве образования Сахалинской области (далее – Правила) определяются:
процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;
категории субъектов, персональные данные которых обрабатываются; сроки обработки и хранения;
порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
2. Настоящие Правила разработаны в соответствии:
со статьей 42 Федерального закона от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»,
Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных»,
Трудовым кодексом Российской Федерации,
Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»,
Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»,
Постановлением Правительства Российской Федерации от 21 марта 2012 г.
№ 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
3. Правила предназначены для установления единообразной организации обращения с персональными данными в Министерстве образования Сахалинской области (далее Сахминобр):
работников Сахминобра;
граждан из числа соискателей, участвующих в конкурсе на вакантную должность государственной гражданской службы и включения в кадровый резерв министерства;
граждан, направивших обращения в адрес министерства.
4. В настоящих Правилах используются следующие основные понятия[¢]:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
5. Принципы обработки персональных данных:
обработка персональных данных должна осуществляться на законной и справедливой основе;
обработка персональных данных должна ограничиваться достижением конкретных, определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица Министерства образования Сахалинской области должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
Мероприятия по обезличиванию обрабатываемых персональных данных в Сахминобре не проводятся.
6. Обработка персональных данных в Сахминобре осуществляется для следующих целей:
обработка персональных данных осуществляется в соответствии с законодательством о государственной гражданской службе, трудовым законодательством;
обработка персональных данных необходима для предоставления государственных (муниципальных) услуг и функций в сфере образования в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ
"Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления услуг;
обработка персональных данных необходима для исполнения функции регионального оператора государственного банка данных о детях-сиротах и детях, оставшихся без попечения родителей;
обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа (должностного лица), подлежащих исполнению в соответствии с законодательством об исполнительном производстве.
7. Министром назначается лицо, ответственное за организацию обработки персональных данных в Сахминобре, и определяется круг лиц, уполномоченных на обработку персональных данных, обеспечивающих обработку персональных данных в соответствии с требованиями законодательства и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.
8. Должностные лица Сахминобра, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
9. Содержание обрабатываемых персональных данных государственных гражданских служащих и рабочих Министерства образования Сахалинской области (далее – работники Сахминобра) определяются нормативными правовыми актами законодательства о государственной гражданской службе и трудового законодательства Российской Федерации.
10. Обработка персональных данных работников Сахминобра осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Работник Сахминобра принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе и в письменной форме. Согласие работника Сахминобра на обработку его персональных данных должно отвечать требованиям, определенным статьей 9 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
11. При сборе персональных данных уполномоченные должностные лица Сахминобра обязаны предоставить работнику Сахминобра по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, уполномоченные должностные лица Сахминобра обязаны разъяснить работнику Сахминобра юридические последствия отказа предоставить его персональные данные.
12. При обработке персональных данных работников Сахминобра уполномоченные должностные лица обязаны соблюдать следующие требования:
обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
персональные данные следует получать лично у работника Сахминобра. В случае возникновения необходимости получения персональных данных работника у третьей стороны следует известить об этом работника заранее, получить его письменное согласие и сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных;
запрещается получать, обрабатывать и приобщать к личному делу работника Сахминобра не установленные Федеральными законами от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации» и
от 27 июля 2006 г. № 152- ФЗ «О персональных данных» персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
передача персональных данных работника третьей стороне не допускается без письменного согласия работника, за исключением случаев, установленных федеральными законами;
в случае выявления неполных, неточных или неактуальных персональных данных в срок, не превышающий семи рабочих дней со дня предоставления работником или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица Сахминобра обязаны внести в них необходимые изменения с уведомлением работника или его представителя;
в случае представления работником или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица Сахминобра в срок, не превышающий семи рабочих дней со дня получения таких сведений, обязаны уничтожить такие персональные данные с уведомлением работника или его представителя;
в случае выявления недостоверных персональных данных работника или неправомерных действий с ними уполномоченных на обработку должностных лиц при обращении или по запросу работника, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных, Сахминобра обязаны осуществить блокирование персональных данных, относящихся к соответствующему работнику Сахминобра, с момента такого обращения или получения такого запроса на период проверки;
в случае подтверждения факта недостоверности персональных данных работника уполномоченные должностные лица Сахминобра на основании документов, представленных работником, являющимся субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;
в случае выявления неправомерных действий с персональными данными уполномоченные должностные лица Сахминобра в срок, не превышающий трех рабочих дней с даты такого выявления, обязаны устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений уполномоченные должностные лица Сахминобра в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, обязаны уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченные должностные лица Сахминобра обязаны уведомить работника, являющегося субъектом персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
в случае отзыва работником согласия на обработку его персональных данных уполномоченные должностные лица Сахминобра обязаны прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
хранение персональных данных должно осуществляться в форме, позволяющей определить работника, являющегося субъектом персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
13. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в Сахминобре не допускается, за исключением случаев, если:
субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии коррупции.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
14. Обработка биометрических персональных данных в Сахминобре может осуществляться только при наличии согласия в письменной форме гражданского служащего, являющегося субъектом персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации о противодействии коррупции, о государственной службе, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию и другими нормативными правовыми актами Российской Федерации.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
15. В соответствии со статьей 15 Федерального закона от 27 мая 2003г. № 58-ФЗ «О системе государственной службы Российской Федерации» на основе персональных данных гражданских служащих в Сахминобре формируется и ведется, в том числе на электронных носителях, реестр гражданских служащих Сахминобра.
16. Содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, для предоставления государственных (муниципальных) услуг и функций в соответствии с
Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления услуг в сфере образования, определяются Законом Российской Федерации от 10 июля 1992 г. № 3266-1 «Об образовании» и соответствующими нормативными актами Министерства образования и науки Российской Федерации.
17. Сроки обработки и хранения персональных данных работников Сахминобра, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований определяются нормами законодательства Российской Федерации в сфере государственного гражданской службы, трудового законодательства, законодательства об архивном деле.
18. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральным законом.
19. Субъект персональных данных имеет право на получение сведений, указанных в статье 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных» Субъект персональных данных вправе требовать от Сахминобра уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения, указанные в части 7 статье 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных», должны быть предоставлены субъекту персональных данных Сахминобра в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения, указанные в части 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю Сахминобра при обращении либо при получении запроса субъекта персональных данных или его представителя в тридцатидневный срок. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения),либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных», и ознакомления с такими персональными данными осуществляется не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Сахминобра обязан дать в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
20. Меры, принимаемые в Сахминобре, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
21. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной ответственности,
а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
ПРИЛОЖЕНИЕ № 2
УТВЕРЖДЕНО
приказом министерства
образования Сахалинской области
от 03.08.2012 № 1098-ОД
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
в Министерстве образования Сахалинской области
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве образования Сахалинской области (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии:
со статьей 42 Федерального закона от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»,
Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных»,
Трудовым кодексом Российской Федерации,
Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»,
Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»,
Постановлением Правительства Российской Федерации от 21 марта 2012 г.
№ 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Министерстве образования Сахалинской области (далее – Сахминобр) организовывается проведение периодических проверок условий обработки персональных данных.
5. Проверки осуществляются должностным лицом, на которое возложены обязанности специалиста по защите информации в Сахминобре либо комиссией, образуемой приказом министра. В проведении проверки не может участвовать гражданский служащий, прямо или косвенно заинтересованный в её результатах.
6. Проверки соответствия обработки персональных данных установленным в Сахминобре требованиям, проводятся на основании утвержденного министром ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в Сахминобр письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
8. Должностное лицо, на которое возложены обязанности специалиста по защите информации в Сахминобре (комиссия) имеет право:
- запрашивать у сотрудников Сахминобра информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить министру предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить министру предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
9. В отношении персональных данных, ставших известными должностному лицу, на которое возложены обязанности специалиста по защите информации в Сахминобре (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
10. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, министру докладывает должностное лицо, на которое возложены обязанности специалиста по защите информации в Сахминобре либо председатель комиссии, в форме письменного заключения.
11. Министр, назначивший внеплановую проверку, обязан контролировать своевременность и правильность её проведения.
[¢] статья 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
МИНИСТЕРСТВО ОБРАЗОВАНИЯ САХАЛИНСКОЙ ОБЛАСТИ
ПРИКАЗ
от 03 августа 2012 года №1098-ОД
г. Южно-Сахалинск
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ САХАЛИНСКОЙ ОБЛАСТИ
В целях реализации мер, предусмотренных Федеральным Законом
«О персональных данных» от 27 июля 2006 года № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, направленными на обеспечение выполнения обязанностей оператора персональных данных
ПРИКАЗЫВАЮ:
Утвердить Правила обработки персональных данных в Министерстве образования Сахалинской области (Приложение 1).
Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве образования Сахалинской области (Приложение 2).
Начальникам отделов Сахминобра руководствоваться настоящими Правилами.
Контроль исполнения настоящего приказа оставляю за собой.
Министр Е.А. Сафонов.
ПРИЛОЖЕНИЕ № 1
УТВЕРЖДЕНО
приказом министерства
образования Сахалинской области
от 03.08.2012 № 1098-ОД
Правила
обработки персональных данных
в Министерстве образования Сахалинской области
1. Настоящими Правилами обработки персональных данных в Министерстве образования Сахалинской области (далее – Правила) определяются:
процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;
категории субъектов, персональные данные которых обрабатываются; сроки обработки и хранения;
порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
2. Настоящие Правила разработаны в соответствии:
со статьей 42 Федерального закона от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»,
Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных»,
Трудовым кодексом Российской Федерации,
Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»,
Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»,
Постановлением Правительства Российской Федерации от 21 марта 2012 г.
№ 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
3. Правила предназначены для установления единообразной организации обращения с персональными данными в Министерстве образования Сахалинской области (далее Сахминобр):
работников Сахминобра;
граждан из числа соискателей, участвующих в конкурсе на вакантную должность государственной гражданской службы и включения в кадровый резерв министерства;
граждан, направивших обращения в адрес министерства.
4. В настоящих Правилах используются следующие основные понятия[¢]:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
5. Принципы обработки персональных данных:
обработка персональных данных должна осуществляться на законной и справедливой основе;
обработка персональных данных должна ограничиваться достижением конкретных, определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица Министерства образования Сахалинской области должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
Мероприятия по обезличиванию обрабатываемых персональных данных в Сахминобре не проводятся.
6. Обработка персональных данных в Сахминобре осуществляется для следующих целей:
обработка персональных данных осуществляется в соответствии с законодательством о государственной гражданской службе, трудовым законодательством;
обработка персональных данных необходима для предоставления государственных (муниципальных) услуг и функций в сфере образования в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ
"Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления услуг;
обработка персональных данных необходима для исполнения функции регионального оператора государственного банка данных о детях-сиротах и детях, оставшихся без попечения родителей;
обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа (должностного лица), подлежащих исполнению в соответствии с законодательством об исполнительном производстве.
7. Министром назначается лицо, ответственное за организацию обработки персональных данных в Сахминобре, и определяется круг лиц, уполномоченных на обработку персональных данных, обеспечивающих обработку персональных данных в соответствии с требованиями законодательства и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.
8. Должностные лица Сахминобра, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
9. Содержание обрабатываемых персональных данных государственных гражданских служащих и рабочих Министерства образования Сахалинской области (далее – работники Сахминобра) определяются нормативными правовыми актами законодательства о государственной гражданской службе и трудового законодательства Российской Федерации.
10. Обработка персональных данных работников Сахминобра осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Работник Сахминобра принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе и в письменной форме. Согласие работника Сахминобра на обработку его персональных данных должно отвечать требованиям, определенным статьей 9 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
11. При сборе персональных данных уполномоченные должностные лица Сахминобра обязаны предоставить работнику Сахминобра по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, уполномоченные должностные лица Сахминобра обязаны разъяснить работнику Сахминобра юридические последствия отказа предоставить его персональные данные.
12. При обработке персональных данных работников Сахминобра уполномоченные должностные лица обязаны соблюдать следующие требования:
обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
персональные данные следует получать лично у работника Сахминобра. В случае возникновения необходимости получения персональных данных работника у третьей стороны следует известить об этом работника заранее, получить его письменное согласие и сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных;
запрещается получать, обрабатывать и приобщать к личному делу работника Сахминобра не установленные Федеральными законами от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации» и
от 27 июля 2006 г. № 152- ФЗ «О персональных данных» персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
передача персональных данных работника третьей стороне не допускается без письменного согласия работника, за исключением случаев, установленных федеральными законами;
в случае выявления неполных, неточных или неактуальных персональных данных в срок, не превышающий семи рабочих дней со дня предоставления работником или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица Сахминобра обязаны внести в них необходимые изменения с уведомлением работника или его представителя;
в случае представления работником или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица Сахминобра в срок, не превышающий семи рабочих дней со дня получения таких сведений, обязаны уничтожить такие персональные данные с уведомлением работника или его представителя;
в случае выявления недостоверных персональных данных работника или неправомерных действий с ними уполномоченных на обработку должностных лиц при обращении или по запросу работника, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных, Сахминобра обязаны осуществить блокирование персональных данных, относящихся к соответствующему работнику Сахминобра, с момента такого обращения или получения такого запроса на период проверки;
в случае подтверждения факта недостоверности персональных данных работника уполномоченные должностные лица Сахминобра на основании документов, представленных работником, являющимся субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;
в случае выявления неправомерных действий с персональными данными уполномоченные должностные лица Сахминобра в срок, не превышающий трех рабочих дней с даты такого выявления, обязаны устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений уполномоченные должностные лица Сахминобра в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, обязаны уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченные должностные лица Сахминобра обязаны уведомить работника, являющегося субъектом персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
в случае отзыва работником согласия на обработку его персональных данных уполномоченные должностные лица Сахминобра обязаны прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
хранение персональных данных должно осуществляться в форме, позволяющей определить работника, являющегося субъектом персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
13. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в Сахминобре не допускается, за исключением случаев, если:
субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии коррупции.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
14. Обработка биометрических персональных данных в Сахминобре может осуществляться только при наличии согласия в письменной форме гражданского служащего, являющегося субъектом персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации о противодействии коррупции, о государственной службе, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию и другими нормативными правовыми актами Российской Федерации.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
15. В соответствии со статьей 15 Федерального закона от 27 мая 2003г. № 58-ФЗ «О системе государственной службы Российской Федерации» на основе персональных данных гражданских служащих в Сахминобре формируется и ведется, в том числе на электронных носителях, реестр гражданских служащих Сахминобра.
16. Содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, для предоставления государственных (муниципальных) услуг и функций в соответствии с
Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления услуг в сфере образования, определяются Законом Российской Федерации от 10 июля 1992 г. № 3266-1 «Об образовании» и соответствующими нормативными актами Министерства образования и науки Российской Федерации.
17. Сроки обработки и хранения персональных данных работников Сахминобра, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований определяются нормами законодательства Российской Федерации в сфере государственного гражданской службы, трудового законодательства, законодательства об архивном деле.
18. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральным законом.
19. Субъект персональных данных имеет право на получение сведений, указанных в статье 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных» Субъект персональных данных вправе требовать от Сахминобра уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения, указанные в части 7 статье 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных», должны быть предоставлены субъекту персональных данных Сахминобра в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения, указанные в части 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю Сахминобра при обращении либо при получении запроса субъекта персональных данных или его представителя в тридцатидневный срок. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения),либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных», и ознакомления с такими персональными данными осуществляется не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Сахминобра обязан дать в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
20. Меры, принимаемые в Сахминобре, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
21. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной ответственности,
а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
ПРИЛОЖЕНИЕ № 2
УТВЕРЖДЕНО
приказом министерства
образования Сахалинской области
от 03.08.2012 № 1098-ОД
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
в Министерстве образования Сахалинской области
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве образования Сахалинской области (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии:
со статьей 42 Федерального закона от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»,
Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных»,
Трудовым кодексом Российской Федерации,
Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»,
Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»,
Постановлением Правительства Российской Федерации от 21 марта 2012 г.
№ 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Министерстве образования Сахалинской области (далее – Сахминобр) организовывается проведение периодических проверок условий обработки персональных данных.
5. Проверки осуществляются должностным лицом, на которое возложены обязанности специалиста по защите информации в Сахминобре либо комиссией, образуемой приказом министра. В проведении проверки не может участвовать гражданский служащий, прямо или косвенно заинтересованный в её результатах.
6. Проверки соответствия обработки персональных данных установленным в Сахминобре требованиям, проводятся на основании утвержденного министром ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в Сахминобр письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
8. Должностное лицо, на которое возложены обязанности специалиста по защите информации в Сахминобре (комиссия) имеет право:
- запрашивать у сотрудников Сахминобра информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить министру предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить министру предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
9. В отношении персональных данных, ставших известными должностному лицу, на которое возложены обязанности специалиста по защите информации в Сахминобре (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
10. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, министру докладывает должностное лицо, на которое возложены обязанности специалиста по защите информации в Сахминобре либо председатель комиссии, в форме письменного заключения.
11. Министр, назначивший внеплановую проверку, обязан контролировать своевременность и правильность её проведения.
[¢] статья 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
Дополнительные сведения
| Рубрики правового классификатора: | 120.030.060 Информация о гражданах (персональные данные) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
