Основная информация
| Дата опубликования: | 04 апреля 2014г. |
| Номер документа: | RU90000201400538 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Пермский край |
| Принявший орган: | Министерство по регулированию контрактной системы в сфере закупок Пермского края |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ В СФЕРЕ ЗАКУПОК ПЕРМСКОГО КРАЯ
МИНИСТЕРСТВО ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ В СФЕРЕ ЗАКУПОК ПЕРМСКОГО КРАЯ
ПРИКАЗ
от 04.04.2014 N СЭД-32-01-04-51
Признан утратившим силу приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края от 25.01.2017 № СЭД-32-01-04-4
Об утверждении организационных документов в сфере обработки и защиты персональных данных в Министерстве по регулированию контрактной системы в сфере закупок Пермского края
В соответствии со статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые:
1.1. Положение об обработке и организации защиты персональных данных в Министерстве по регулированию контрактной системы в сфере закупок Пермского края (далее – Министерство);
1.2. Перечень персональных данных государственных гражданских служащих Министерства, работников Министерства, замещающих должности, не являющиеся должностями государственной гражданской службы, граждан, претендующих на замещение вакантных должностей в Министерстве, обрабатываемых в информационных системах персональных данных;
1.3. Перечень персональных данных субъектов персональных данных, обрабатываемых в иных информационных системах Министерства;
1.4. Порядок организации мероприятий по защите персональных данных, осуществляемых при их обработке в информационных системах Министерства;
1.5. Типовое обязательство государственного гражданского служащего Министерства, уполномоченного на обработку персональных данных, в случае расторжения с ним служебного контракта, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
1.6. Форму согласия на обработку персональных данных;
1.7. Форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
2. Настоящий приказ вступает в силу со дня его подписания и распространяется на правоотношения, возникшие с 9 января 2014 г.
3. Контроль за исполнением настоящего Приказа оставляю за собой.
Министр С.А. Пономарев
УТВЕРЖДЕНО
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ В СФЕРЕ ЗАКУПОК ПЕРМСКОГО КРАЯ
I. Общие положения
1.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, федеральными законами от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон о защите информации), от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации» (далее – Закон о государственной гражданской службе), от 25 декабря 2008 г. № 273-ФЗ «О противодействии коррупции» (далее - Закон о противодействии коррупции), Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», постановлениями Правительства Российской Федерации от 15 сентября 2008 г. № 678 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», иными нормативными актами о государственной гражданской службе.
1.2. Целью разработки настоящего Положения является определение политики Министерства по регулированию контрактной системы в сфере закупок Пермского края (далее – Министерство) в отношении обработки персональных данных.
1.3. Понятия, используемые в настоящем Положении: персональные данные, обработка персональных данных, автоматизированная обработка персональных данных, распространение персональных данных, предоставление персональных данных, уничтожение персональных данных, обезличивание персональных данных, информационная система персональных данных, - употребляются в значениях, установленных Законом о персональных данных
1.4. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
1.5. Целями обработки персональных данных являются:
ведение бюджетного, налогового, оперативного, кадрового и воинского учета;
взимание необходимых налогов и сборов с доходов сотрудников в соответствии с законодательством РФ;
формирование и предоставления в соответствующие органы необходимой статистической, бюджетной, налоговой и иной отчетности по установленным формам;
организация обучения и повышения квалификации сотрудников Оператора;
рассмотрение обращений граждан, регистрация письменных обращений граждан;
ведение документооборота;
противодействие коррупции;
формирование кадрового резерва на государственную гражданскую службу Пермского края.
регистрация в информационных системах Министерства пользователей таких систем.
1.6. Сроки обработки персональных данных устанавливается в соответствии с целью обработки. После достижения цели обработки персональные данные отправляются на архивное хранение.
II. Организация обработки персональных данных
2.1. Обработка персональных данных в Министерстве осуществляется с соблюдением принципов и правил, предусмотренных Законом о персональных данных.
2.2. Функции по обработке персональных данных государственных гражданских служащих Министерства, работников Министерства, замещающих должности, не являющиеся должностями государственной гражданской службы (далее – работники Министерства), граждан, претендующих на замещение вакантных должностей в Министерстве, а также разработка соответствующих документов, регламентирующих обработку и защиту персональных данных указанных лиц, сведений конфиденциального характера, ограниченного доступа, осуществляется департаментом государственного управления Администрации губернатора Пермского края на основании соглашения о кадровом обслуживании, и управлением финансов и бухгалтерского учета Аппарата Правительства Пермского края на основании соглашения о бухгалтерском обслуживании (далее – функциональные органы).
2.3. Руководители функциональных органов соответствующими правовыми актами:
2.3.1. утверждают перечень должностей уполномоченных лиц из числа государственных гражданских служащих функциональных органов, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, а также ответственных проведение мероприятий по обезличиванию персональных данных;
2.3.2. назначают из числа государственных гражданских служащих функционального органа уполномоченных лиц, осуществляющих обработку персональных данных (далее - пользователь ПДн) в информационных системах персональных данных функциональных органов (далее - информационная система персональных данных).
2.4. Перечень уполномоченных лиц Министерства, имеющих доступ к персональным данным государственных гражданских служащих Министерства, работников Министерства, граждан, претендующих на замещение вакантных должностей в Министерстве, а также лиц, имеющих доступ к персональным данным (иной информации ограниченного доступа), обрабатываемых в информационных системах Министерства (далее – иные информационные системы Министерства), лиц, ответственных за организацию обработки персональных данных, лиц, ответственных за обеспечение безопасности персональных данных, обрабатываемых в иных информационных системах Министерства, утверждается приказом Министерства.
2.5. На уполномоченных лиц, ответственных за организацию обработки персональных данных, возлагаются обязанности, установленные частью 4 статьи 22.1 Закона о персональных данных.
2.6. Для разграничения полномочий пользователей ПДн по выполнению действий с персональными данными Министерство и функциональные органы в части касающейся утверждают разрешительную систему допуска пользователей информационной системы персональных данных (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам.
2.7. Пользователи ПДн при обработке персональных данных в информационной системе персональных данных, иных информационных системах Министерства обязаны:
размещать устройства ввода (отображения) информации, исключающее ее несанкционированный просмотр;
осуществлять контроль за защитой устройств ввода (отображения) информации от внешних воздействий (воздействия окружающей среды, нестабильность электроснабжения и т.д.);
осуществлять вход в информационную систему персональных данных, иные информационные системы Министерства только под своей учетной записью;
осуществлять действия с персональными данными (запись, корректировку, распечатку, удаление), обрабатываемыми в информационной системе персональных данных, иных информационных системах Министерства в соответствии с присвоенными им правами согласно принятой разрешительной системе;
в случае отказа информационной системы персональных данных, иных информационных систем Министерства в идентификации пользователя либо неподтверждения личного пароля немедленно обратиться к уполномоченному лицу, назначенному ответственным за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных, иных информационных системах Министерства;
не разглашать информацию о присвоенном имени учетной записи и пароле для входа в информационную систему персональных данных, иные информационные системы Министерства посторонним лицам;
при работе со съемными носителями информации осуществлять их проверку на наличие программных вирусов и вредоносных программ с использованием штатных средств антивирусной защиты каждый раз перед началом работы с ними;
производить запись персональных данных только на учтенные съемные носители персональных данных;
контролировать точность, полноту и правильность вводимых данных в информационные системы персональных данных, иные информационные системы Министерства;
контролировать ошибочные действия пользователей ПНд по вводу и (или) передаче информации;
контролировать наличие антивирусной защиты на устройствах ввода (отображения) информации, на которых установлены информационные системы персональных данных, иные информационные системы Министерства.
2.8. Пользователи ПДн, имеющие право на выполнение в информационной системе персональных данных, иных информационных системах Министерства действий по вводу, изменению, удалению персональных данных, несут ответственность за полноту, точность и актуальность персональных данных, обрабатываемых в данной информационной системе персональных данных.
2.9. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
2.10. Получение согласия субъекта персональных данных на обработку его персональных данных в письменном виде в установленных законодательством случаях осуществляется уполномоченными лицами, осуществляющими обработку персональных данных, при получении персональных данных от субъекта персональных данных по установленной форме либо в любой другой форме, включающей установленные Законом о персональных данных сведения и позволяющей подтвердить факт получения согласия.
2.11. Обработка специальных категорий персональных данных субъектов персональных данных осуществляется без согласия указанных лиц в случаях и порядке, установленных Законом о персональных данных и Трудовым кодексом Российской Федерации.
III. Организация защиты персональных данных
3.1. Министр по регулированию контрактной системы в сфере закупок Пермского края (далее – министр), руководители функциональных органов в пределах полномочий организуют защиту персональных данных.
3.2. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, иных информационных системах Министерства осуществляется в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных» и Порядком организации мероприятий по защите персональных данных, осуществляемых при их обработке в информационных системах персональных данных Министерства и функциональных органов.
3.3. Для проведения мероприятий по обеспечению защиты персональных данных при их обработке в информационных системах Министерство и функциональные органы утверждают перечни информационных систем персональных данных, иных информационных систем (далее – Перечень информационных систем).
В Перечень информационных систем включаются все информационные системы, созданные в функциональных органах и Министерстве, для ведения автоматизированной обработки персональных данных.
3.4. Министерство и функциональные органы в соответствии с компетенцией в рамках проведения мероприятий по разработке и осуществлению работ по обеспечению безопасности персональных данных при их обработке в информационной системе:
обеспечивают надежное функционирование серверного, телекоммуникационного оборудования, каналов передачи данных, средств и систем защиты персональных данных, обрабатываемых в информационных системах персональных данных, иных информационных системах;
планируют и обеспечивают проведение мероприятий, направленных на подтверждение эффективности комплекса используемых мер и средств защиты персональных данных при их обработке в информационных системах персональных данных, иных информационных системах.
3.5. Для проведения мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, иных информационных системах Министерства правовыми актами Министерства и функциональных органов назначаются уполномоченные лица, ответственные за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных, иных информационных системах Министерства.
3.6. Уполномоченные лица, указанные в пункте 3.5 настоящего Положения:
участвуют в определении класса информационных систем персональных данных;
участвуют в процессе установки средств и систем защиты персональных данных;
контролируют правильность использования установленных средств и систем защиты, а также функционирование этих средств и систем;
контролируют соблюдение требований действующего законодательства и выполнение мер по безопасности персональных данных лицами, допущенными к обработке персональных данных в функциональном органе;
информируют министра о несанкционированных действиях, сбоях работы средств и систем защиты информации;
прекращают обработку пользователями ПДн персональных данных в информационной системе персональных данных, иных информационных системах Министерства при обнаружении несанкционированных действий пользователей ПДн, нарушениях функционирования средств и систем защиты персональных данных до устранения выявленных нарушений.
организуют принятие правовых, организационных и технических мер для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
доводят до сведения государственных гражданских служащих Министерства и работников Министерства положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
организуют прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществляют контроль за приемом и обработкой таких обращений и запросов.
3.7. Министр, руководители функциональных органов организуют мероприятия по устранению выявленных нарушений и исключению предпосылок для дальнейшего возникновения аналогичных нарушений.
3.6. Лица, уполномоченные на обработку персональных данных, осуществляют обработку персональных данных в соответствии с требованиями, установленными законодательством Российской Федерации в области персональных данных и настоящим Положением.
IV. Условия обезличивания персональных данных
4.1. Обезличивание персональных данных проводится с целью снижения ущерба от разглашения защищаемых персональных данных и снижения требований к защите информационной системы персональных данных.
4.2. Обезличивание персональных данных также осуществляется по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом о персональных данных.
4.3. Способы обезличивания при условии дальнейшей обработки персональных данных:
уменьшение перечня обрабатываемых сведений;
замена части сведений идентификаторами;
замена численных значений минимальным, средним или максимальным значением;
понижение точности некоторых сведений;
деление сведений на части и обработка их в разных информационных системах;
другие способы.
4.4. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
4.5. Для обезличивания персональных данных применяются любые способы, не запрещенные законодательством Российской Федерации.
4.6. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
4.7. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
V. Сроки обработки и хранения персональных данных
5.1. Сроки обработки и хранения персональных данных субъектов персональных данных определяются в соответствии с законодательством Российской Федерации.
5.2. Срок хранения персональных данных, внесенных в информационные системы персональных данных должен соответствовать сроку хранения бумажных оригиналов.
5.3. По истечении установленного срока хранения уничтожение бумажных и электронных носителей персональных данных, утративших свое практическое значение и не имеющих исторической ценности, производится по акту в установленном порядке
5.4. Документы, базы данных, содержащие персональные данные, имеющие постоянный срок хранения, передаются на архивное хранение по акту в установленном порядке.
5.5. По окончании процедуры уничтожения лицом, ответственным за архивную деятельность, составляется соответствующий акт об уничтожении документов, содержащих персональные данные.
5.6. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5.7. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
VI. Рассмотрение запросов субъектов персональных данных
или их представителей
6.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
6.1.1. подтверждение факта обработки персональных данных;
6.1.2. правовые основания и цели обработки персональных данных;
6.1.3. применяемые способы обработки персональных данных;
6.1.4. наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты на основании федерального закона;
6.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6.1.6. сроки обработки персональных данных, в том числе сроки их хранения;
6.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Положением;
6.1.8. информацию об осуществленной или предполагаемой трансграничной передаче данных;
6.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка поручена или будет поручена такому лицу;
6.1.10. иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
6.2. Субъекты персональных данных вправе требовать уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Сведения, указанные в подпунктах 6.1.1-6.1.8 пункта 6.1 настоящего Положения, должны быть предоставлены субъекту персональных данных оператором безвозмездно в доступной форме, без указания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.4. Сведения, указанные в подпунктах 6.1.1-6.1.8 пункта 6.1 настоящего Положения, предоставляются субъекту персональных данных или его представителю уполномоченным лицом, осуществляющим обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:
6.4.1. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
6.4.2. сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Министерством (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей государственной гражданской службы Пермского края), либо сведения, иным образом подтверждающие факт обработки персональных данных в Министерстве, подпись субъекта персональных данных или его представителя.
6.5. Исполнение запроса субъектов персональных данных или их представителей осуществляется в сроки, установленные Законом о персональных данных.
6.6. Повторный запрос на получения сведений, указанных подпунктах 6.1.1-6.1.8 пункта 6.1 настоящего Положения, и ознакомление с такими персональными данными может быть направлен не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.
6.7. Субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения сведений, указанных в подпунктах 6.1.1-6.1.8 пункта 6.1 настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 6.6. настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными пункте 6.4 настоящего Положения, должен содержать обоснование направления повторного запроса.
6.8. Министерство, функциональные органы вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, установленным настоящим положением. Такой отказ должен быть мотивированным.
6.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, установленных Законом о персональных данных.
VII. Правила осуществления внутреннего контроля соответствия
обработки персональных данных требованиям к защите
персональных данных, установленным законодательством
Российской Федерации в области персональных данных
7.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организовывается проведение периодических проверок условий обработки персональных данных.
Проверки проводятся ответственным за организацию обработки персональных данных.
7.2. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании приказа Министерства не реже одного раза в год или на основании поступившего письменного заявления субъекта персональных данных о нарушениях правил обработки персональных данных (внеплановые проверки).
7.3. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
7.4. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть установлены:
7.4.1. порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
7.4.2. порядок и условия применения средств защиты информации;
7.4.3. соблюдение правил доступа к персональным данным;
7.4.4. осуществление мероприятий по обеспечению целостности персональных данных.
7.5. Ответственный за организацию обработки персональных данных при проведении проверки условий обработки персональных данных имеет право:
7.5.1. запрашивать у лиц, уполномоченных на обработку персональных данных, информацию, необходимую для реализации полномочий;
7.5.2. требовать от лиц, уполномоченных на обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
7.5.3. принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
7.5.4. вносить на рассмотрение министра предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке, а также предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
7.6. Ответственный за организацию обработки персональных данных при проведении проверки условий обработки персональных данных должен обеспечивать конфиденциальность ставших ему известными в ходе проведения мероприятий внутреннего контроля персональных данных.
7.7. Проверка условий обработки персональных данных должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения об ее проведении.
7.8. По результатам проведенной проверки условий обработки персональных данных ответственный за организацию обработки персональных данных представляет министру письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.
VIII Порядок доступа в помещения, в которых ведется обработка
персональных данных
8.1. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.
8.2. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.
Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
8.3. Вскрытие и закрытие помещений, в которых ведется обработка персональных данных, производится лицами, имеющими право доступа в данные помещения.
8.4. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня лица, имеющие право доступа в помещения, обязаны:
убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть шкафы;
отключить технические средства (кроме постоянно действующей техники) и электроприборы, выключить освещение;
закрыть окна;
закрыть двери.
8.5. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только лица, непосредственно работающие в данном помещении.
Иные лица имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии лиц, непосредственно работающих в данных помещениях.
8.6. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты.
8.7. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии лица, работающего в данном помещении.
8.8. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на лиц, обрабатывающих персональные данные.
УТВЕРЖДЕН
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
Перечень персональных данных
государственных гражданских служащих Министерства по регулированию контрактной системы в сфере закупок Пермского края (далее – Министерство), работников Министерства, замещающих должности, не являющиеся должностями государственной гражданской службы, граждан, претендующих на замещение вакантных должностей в Министерстве, обрабатываемых в информационных системах персональных данных
1. фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);
2. число, месяц, год рождения;
3. место рождения;
4. информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
6. адрес места жительства (адрес регистрации, фактического проживания);
7. номер контактного телефона или сведения о других способах связи;
8. реквизиты страхового свидетельства государственного пенсионного страхования;
9. идентификационный номер налогоплательщика и членов его семьи;
10. реквизиты страхового медицинского полиса обязательного медицинского страхования;
11. реквизиты свидетельства государственной регистрации актов гражданского состояния;
12. информация о семейном положении, составе семьи, близких родственниках (в том числе бывших);
13. сведения о трудовом и общем стаже;
14. сведения о предыдущем месте работы;
14. сведения о воинском учете и реквизиты документов воинского учета;
15. сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
16. сведения о прохождении государственной гражданской службы, в том числе: дата основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы;
17. информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
18. сведения о пребывании за границей;
19. информация о наличии или отсутствии судимости;
20. информация об оформленных допусках к государственной тайне;
21. информация о государственных наградах, иных наградах и знаках отличия;
22. сведения о социальных льготах;
23. сведения о заработной плате;
24. место работы или учебы членов семьи и родственников;
25. характер взаимоотношений в семье;
26. адрес личной электронной почты;
27. фотографии и иные сведения, относящиеся к персональным данным;
28. состав декларируемых сведений о наличии материальных ценностей;
29. результаты сдачи тестирования (анкетирования).
30. результаты медицинских обследований на предмет годности к осуществлению трудовых обязанностей.
УТВЕРЖДЕН
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
ПЕРЕЧЕНЬ персональных данных
субъектов персональных данных, обрабатываемых в иных информационных системах Министерства по регулированию контрактной системы в сфере закупок Пермского края
ФИО;
дата рождения;
паспортные данные;
адрес места жительства;
номер домашнего телефона.
УТВЕРЖДЕНО
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
ПОРЯДОК
ОРГАНИЗАЦИИ МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ МИНИСТЕРСТВА ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ В СФЕРЕ ЗАКУПОК ПЕРМСКОГО КРАЯ
N
Наименование мероприятия
Срок выполнения
Ответственные за выполнение
1
2
3
4
1
Направление в
уполномоченный орган по защите прав субъектов персональных данных
(Роскомнадзор)
уведомления установленной
формы о намерении
осуществлять обработку
персональных данных с
использованием средств
автоматизации
до начала обработки
персональных данных либо в случае изменения сведений, указанных в уведомлении, а также в случае прекращения
обработки персональных
данных в течение 10 рабочих дней с даты
возникновения таких
изменений или с даты
прекращения обработки
персональных данных
лицо, ответственное за организацию обработки персональных данных в Министерстве
2
Подготовка правового
основания обработки
персональных данных, в
том числе: разработка проекта правового акта о вводе в эксплуатацию
информационной системы персональных данных, включение информационной
системы персональных
в перечень информационных систем
персональных данных
при создании
информационной системы
персональных данных
заместитель начальника управления, начальник отдела информационного обеспечения управления организации закупок Министерства
3
Организация проведения классификации
информационных систем
персональных данных
при создании
информационной системы
персональных данных;
при выявлении персональных данных в других информационных системах;
при изменении состава,
структуры или технических
особенностей построения
действующей информационной
системы персональных
данных (изменение
программного обеспечения,
топологии и прочее)
заместитель начальника управления, начальник отдела информационного обеспечения управления организации закупок Министерства
4
Организация работы по выявлению угроз
безопасности и разработке моделей угроз
при создании новой
информационной системы
персональных данных или
создании системы защиты
действующей информационной
системы персональных
данных
заместитель начальника управления, начальник отдела информационного обеспечения управления организации закупок Министерства
5
Обеспечение исключения угроз безопасности путем
организации передачи
персональных данных с
помощью сменных
носителей, создания
автономных информационных
систем персональных
данных на выделенных
автоматизированных
рабочих местах и прочих
доступных мер
при создании новой
информационной системы
персональных данных или
создании системы защиты
действующей информационной
системы персональных
данных
заместитель начальника управления, начальник отдела информационного обеспечения управления организации закупок Министерства
УТВЕРЖДЕНО
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
государственного гражданского служащего Министерства
по регулированию контрактной системы в сфере закупок Пермского края, уполномоченного на обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных
данных, ставших известными ему в связи с исполнением
должностных обязанностей
Я, __________________________________________________________________,
(фамилия, имя, отчество)
__________________________________________________________________
(должность)
__________________________________________________________________,
обязуюсь прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта, освобождения меня от замещаемой должности и увольнения с государственной гражданской службы Пермского края.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставших известными мне в связи с исполнением должностных обязанностей.
Ответственность, предусмотренная Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и другими федеральными законами, мне разъяснена.
"___" ____________ 20___ г. _____________ _______________________
(дата) (подпись) (расшифровка подписи)
УТВЕРЖДЕНО
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
СОГЛАСИЕ
на обработку персональных данных
Я, __________________________________________________________________,
(фамилия, имя, отчество субъекта персональных данных или представителя этого субъекта полностью)
проживающий по адресу: __________________________________________________________________
__________________________________________________________________,
(адрес по паспорту)
документ, удостоверяющий личность: _________________________________
номер ____________________, дата выдачи ____________________________,
кем выдан: ________________________________________________________,
действующий на основании <*>: _____________________________________
__________________________________________________________________,
(реквизиты доверенности или иного документа, подтверждающего полномочия представителя субъекта)
своей волей и в своем интересе/в интересе представляемого лица <*>:
_________________________________________________________________
(фамилия, имя, отчество представляемого лица - субъекта персональных данных),
__________________________________________________________________
реквизиты основного документа, удостоверяющего личность представляемого лица, сведения о дате выдачи указанного документа и выдавшем его органе)
выражаю согласие на обработку моих/представляемого лица персональных данных:
__________________________________________________________________
(наименование подразделения, получающего согласие субъекта персональных данных)
с целью: __________________________________________________________________
следующих персональных данных:
__________________________________________________________________
__________________________________________________________________
С предоставленными персональными данными планируется совершать следующие действия:
__________________________________________________________________
(перечень действий с персональными данными, на совершение которых дается согласие (сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение)
Планируются следующие способы обработки представленных персональных данных:
__________________________________________________________________
(автоматизированная, неавтоматизированная, смешанная)
Настоящее согласие действует:
_________________________________________________________________
(указать срок, установленный в соответствии с действующим законодательством)
Настоящее согласие может быть отозвано путем подачи письменного заявления в адрес
__________________________________________________________________
(наименование подразделения, получающего согласие субъекта персональных данных)
"___"_________ 20__ г. ____________________________________________________
(подпись, фамилия, имя, отчество прописью полностью)
--------------------------------
<*> Заполняется только при получении согласия от представителя субъекта персональных данных.
УТВЕРЖДЕНО
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных
юридических последствий отказа предоставить свои персональные данные
Мне, __________________________________________________________
____________________________________________________________________,
претендующему(ей) (замещающему(ей)) должность, претендующему на включение в кадровый резерв на государственную гражданскую службу Пермского края, _____________________________________________________
____________________________________________________________________
разъяснено, что в случае моего отказа от предоставления своих персональных
данных для замещения должности государственной гражданской службы Пермского края (для замещения государственной должности Пермского края, должности, не являющейся должностью государственной гражданской службы Пермского края, включения в кадровый резерв на государственную гражданскую службу Пермского края) заключение служебного контракта (трудового договора, включение в кадровый резерв на государственную гражданскую службу Пермского края) невозможно.
"___" ____________ 20___ г. _____________ _______________________
(дата) (подпись) (расшифровка подписи)
МИНИСТЕРСТВО ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ В СФЕРЕ ЗАКУПОК ПЕРМСКОГО КРАЯ
МИНИСТЕРСТВО ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ В СФЕРЕ ЗАКУПОК ПЕРМСКОГО КРАЯ
ПРИКАЗ
от 04.04.2014 N СЭД-32-01-04-51
Признан утратившим силу приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края от 25.01.2017 № СЭД-32-01-04-4
Об утверждении организационных документов в сфере обработки и защиты персональных данных в Министерстве по регулированию контрактной системы в сфере закупок Пермского края
В соответствии со статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые:
1.1. Положение об обработке и организации защиты персональных данных в Министерстве по регулированию контрактной системы в сфере закупок Пермского края (далее – Министерство);
1.2. Перечень персональных данных государственных гражданских служащих Министерства, работников Министерства, замещающих должности, не являющиеся должностями государственной гражданской службы, граждан, претендующих на замещение вакантных должностей в Министерстве, обрабатываемых в информационных системах персональных данных;
1.3. Перечень персональных данных субъектов персональных данных, обрабатываемых в иных информационных системах Министерства;
1.4. Порядок организации мероприятий по защите персональных данных, осуществляемых при их обработке в информационных системах Министерства;
1.5. Типовое обязательство государственного гражданского служащего Министерства, уполномоченного на обработку персональных данных, в случае расторжения с ним служебного контракта, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
1.6. Форму согласия на обработку персональных данных;
1.7. Форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
2. Настоящий приказ вступает в силу со дня его подписания и распространяется на правоотношения, возникшие с 9 января 2014 г.
3. Контроль за исполнением настоящего Приказа оставляю за собой.
Министр С.А. Пономарев
УТВЕРЖДЕНО
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ В СФЕРЕ ЗАКУПОК ПЕРМСКОГО КРАЯ
I. Общие положения
1.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, федеральными законами от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон о защите информации), от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации» (далее – Закон о государственной гражданской службе), от 25 декабря 2008 г. № 273-ФЗ «О противодействии коррупции» (далее - Закон о противодействии коррупции), Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», постановлениями Правительства Российской Федерации от 15 сентября 2008 г. № 678 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», иными нормативными актами о государственной гражданской службе.
1.2. Целью разработки настоящего Положения является определение политики Министерства по регулированию контрактной системы в сфере закупок Пермского края (далее – Министерство) в отношении обработки персональных данных.
1.3. Понятия, используемые в настоящем Положении: персональные данные, обработка персональных данных, автоматизированная обработка персональных данных, распространение персональных данных, предоставление персональных данных, уничтожение персональных данных, обезличивание персональных данных, информационная система персональных данных, - употребляются в значениях, установленных Законом о персональных данных
1.4. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
1.5. Целями обработки персональных данных являются:
ведение бюджетного, налогового, оперативного, кадрового и воинского учета;
взимание необходимых налогов и сборов с доходов сотрудников в соответствии с законодательством РФ;
формирование и предоставления в соответствующие органы необходимой статистической, бюджетной, налоговой и иной отчетности по установленным формам;
организация обучения и повышения квалификации сотрудников Оператора;
рассмотрение обращений граждан, регистрация письменных обращений граждан;
ведение документооборота;
противодействие коррупции;
формирование кадрового резерва на государственную гражданскую службу Пермского края.
регистрация в информационных системах Министерства пользователей таких систем.
1.6. Сроки обработки персональных данных устанавливается в соответствии с целью обработки. После достижения цели обработки персональные данные отправляются на архивное хранение.
II. Организация обработки персональных данных
2.1. Обработка персональных данных в Министерстве осуществляется с соблюдением принципов и правил, предусмотренных Законом о персональных данных.
2.2. Функции по обработке персональных данных государственных гражданских служащих Министерства, работников Министерства, замещающих должности, не являющиеся должностями государственной гражданской службы (далее – работники Министерства), граждан, претендующих на замещение вакантных должностей в Министерстве, а также разработка соответствующих документов, регламентирующих обработку и защиту персональных данных указанных лиц, сведений конфиденциального характера, ограниченного доступа, осуществляется департаментом государственного управления Администрации губернатора Пермского края на основании соглашения о кадровом обслуживании, и управлением финансов и бухгалтерского учета Аппарата Правительства Пермского края на основании соглашения о бухгалтерском обслуживании (далее – функциональные органы).
2.3. Руководители функциональных органов соответствующими правовыми актами:
2.3.1. утверждают перечень должностей уполномоченных лиц из числа государственных гражданских служащих функциональных органов, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, а также ответственных проведение мероприятий по обезличиванию персональных данных;
2.3.2. назначают из числа государственных гражданских служащих функционального органа уполномоченных лиц, осуществляющих обработку персональных данных (далее - пользователь ПДн) в информационных системах персональных данных функциональных органов (далее - информационная система персональных данных).
2.4. Перечень уполномоченных лиц Министерства, имеющих доступ к персональным данным государственных гражданских служащих Министерства, работников Министерства, граждан, претендующих на замещение вакантных должностей в Министерстве, а также лиц, имеющих доступ к персональным данным (иной информации ограниченного доступа), обрабатываемых в информационных системах Министерства (далее – иные информационные системы Министерства), лиц, ответственных за организацию обработки персональных данных, лиц, ответственных за обеспечение безопасности персональных данных, обрабатываемых в иных информационных системах Министерства, утверждается приказом Министерства.
2.5. На уполномоченных лиц, ответственных за организацию обработки персональных данных, возлагаются обязанности, установленные частью 4 статьи 22.1 Закона о персональных данных.
2.6. Для разграничения полномочий пользователей ПДн по выполнению действий с персональными данными Министерство и функциональные органы в части касающейся утверждают разрешительную систему допуска пользователей информационной системы персональных данных (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам.
2.7. Пользователи ПДн при обработке персональных данных в информационной системе персональных данных, иных информационных системах Министерства обязаны:
размещать устройства ввода (отображения) информации, исключающее ее несанкционированный просмотр;
осуществлять контроль за защитой устройств ввода (отображения) информации от внешних воздействий (воздействия окружающей среды, нестабильность электроснабжения и т.д.);
осуществлять вход в информационную систему персональных данных, иные информационные системы Министерства только под своей учетной записью;
осуществлять действия с персональными данными (запись, корректировку, распечатку, удаление), обрабатываемыми в информационной системе персональных данных, иных информационных системах Министерства в соответствии с присвоенными им правами согласно принятой разрешительной системе;
в случае отказа информационной системы персональных данных, иных информационных систем Министерства в идентификации пользователя либо неподтверждения личного пароля немедленно обратиться к уполномоченному лицу, назначенному ответственным за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных, иных информационных системах Министерства;
не разглашать информацию о присвоенном имени учетной записи и пароле для входа в информационную систему персональных данных, иные информационные системы Министерства посторонним лицам;
при работе со съемными носителями информации осуществлять их проверку на наличие программных вирусов и вредоносных программ с использованием штатных средств антивирусной защиты каждый раз перед началом работы с ними;
производить запись персональных данных только на учтенные съемные носители персональных данных;
контролировать точность, полноту и правильность вводимых данных в информационные системы персональных данных, иные информационные системы Министерства;
контролировать ошибочные действия пользователей ПНд по вводу и (или) передаче информации;
контролировать наличие антивирусной защиты на устройствах ввода (отображения) информации, на которых установлены информационные системы персональных данных, иные информационные системы Министерства.
2.8. Пользователи ПДн, имеющие право на выполнение в информационной системе персональных данных, иных информационных системах Министерства действий по вводу, изменению, удалению персональных данных, несут ответственность за полноту, точность и актуальность персональных данных, обрабатываемых в данной информационной системе персональных данных.
2.9. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
2.10. Получение согласия субъекта персональных данных на обработку его персональных данных в письменном виде в установленных законодательством случаях осуществляется уполномоченными лицами, осуществляющими обработку персональных данных, при получении персональных данных от субъекта персональных данных по установленной форме либо в любой другой форме, включающей установленные Законом о персональных данных сведения и позволяющей подтвердить факт получения согласия.
2.11. Обработка специальных категорий персональных данных субъектов персональных данных осуществляется без согласия указанных лиц в случаях и порядке, установленных Законом о персональных данных и Трудовым кодексом Российской Федерации.
III. Организация защиты персональных данных
3.1. Министр по регулированию контрактной системы в сфере закупок Пермского края (далее – министр), руководители функциональных органов в пределах полномочий организуют защиту персональных данных.
3.2. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, иных информационных системах Министерства осуществляется в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных» и Порядком организации мероприятий по защите персональных данных, осуществляемых при их обработке в информационных системах персональных данных Министерства и функциональных органов.
3.3. Для проведения мероприятий по обеспечению защиты персональных данных при их обработке в информационных системах Министерство и функциональные органы утверждают перечни информационных систем персональных данных, иных информационных систем (далее – Перечень информационных систем).
В Перечень информационных систем включаются все информационные системы, созданные в функциональных органах и Министерстве, для ведения автоматизированной обработки персональных данных.
3.4. Министерство и функциональные органы в соответствии с компетенцией в рамках проведения мероприятий по разработке и осуществлению работ по обеспечению безопасности персональных данных при их обработке в информационной системе:
обеспечивают надежное функционирование серверного, телекоммуникационного оборудования, каналов передачи данных, средств и систем защиты персональных данных, обрабатываемых в информационных системах персональных данных, иных информационных системах;
планируют и обеспечивают проведение мероприятий, направленных на подтверждение эффективности комплекса используемых мер и средств защиты персональных данных при их обработке в информационных системах персональных данных, иных информационных системах.
3.5. Для проведения мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, иных информационных системах Министерства правовыми актами Министерства и функциональных органов назначаются уполномоченные лица, ответственные за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных, иных информационных системах Министерства.
3.6. Уполномоченные лица, указанные в пункте 3.5 настоящего Положения:
участвуют в определении класса информационных систем персональных данных;
участвуют в процессе установки средств и систем защиты персональных данных;
контролируют правильность использования установленных средств и систем защиты, а также функционирование этих средств и систем;
контролируют соблюдение требований действующего законодательства и выполнение мер по безопасности персональных данных лицами, допущенными к обработке персональных данных в функциональном органе;
информируют министра о несанкционированных действиях, сбоях работы средств и систем защиты информации;
прекращают обработку пользователями ПДн персональных данных в информационной системе персональных данных, иных информационных системах Министерства при обнаружении несанкционированных действий пользователей ПДн, нарушениях функционирования средств и систем защиты персональных данных до устранения выявленных нарушений.
организуют принятие правовых, организационных и технических мер для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
доводят до сведения государственных гражданских служащих Министерства и работников Министерства положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
организуют прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществляют контроль за приемом и обработкой таких обращений и запросов.
3.7. Министр, руководители функциональных органов организуют мероприятия по устранению выявленных нарушений и исключению предпосылок для дальнейшего возникновения аналогичных нарушений.
3.6. Лица, уполномоченные на обработку персональных данных, осуществляют обработку персональных данных в соответствии с требованиями, установленными законодательством Российской Федерации в области персональных данных и настоящим Положением.
IV. Условия обезличивания персональных данных
4.1. Обезличивание персональных данных проводится с целью снижения ущерба от разглашения защищаемых персональных данных и снижения требований к защите информационной системы персональных данных.
4.2. Обезличивание персональных данных также осуществляется по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом о персональных данных.
4.3. Способы обезличивания при условии дальнейшей обработки персональных данных:
уменьшение перечня обрабатываемых сведений;
замена части сведений идентификаторами;
замена численных значений минимальным, средним или максимальным значением;
понижение точности некоторых сведений;
деление сведений на части и обработка их в разных информационных системах;
другие способы.
4.4. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
4.5. Для обезличивания персональных данных применяются любые способы, не запрещенные законодательством Российской Федерации.
4.6. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
4.7. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
V. Сроки обработки и хранения персональных данных
5.1. Сроки обработки и хранения персональных данных субъектов персональных данных определяются в соответствии с законодательством Российской Федерации.
5.2. Срок хранения персональных данных, внесенных в информационные системы персональных данных должен соответствовать сроку хранения бумажных оригиналов.
5.3. По истечении установленного срока хранения уничтожение бумажных и электронных носителей персональных данных, утративших свое практическое значение и не имеющих исторической ценности, производится по акту в установленном порядке
5.4. Документы, базы данных, содержащие персональные данные, имеющие постоянный срок хранения, передаются на архивное хранение по акту в установленном порядке.
5.5. По окончании процедуры уничтожения лицом, ответственным за архивную деятельность, составляется соответствующий акт об уничтожении документов, содержащих персональные данные.
5.6. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5.7. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
VI. Рассмотрение запросов субъектов персональных данных
или их представителей
6.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
6.1.1. подтверждение факта обработки персональных данных;
6.1.2. правовые основания и цели обработки персональных данных;
6.1.3. применяемые способы обработки персональных данных;
6.1.4. наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты на основании федерального закона;
6.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6.1.6. сроки обработки персональных данных, в том числе сроки их хранения;
6.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Положением;
6.1.8. информацию об осуществленной или предполагаемой трансграничной передаче данных;
6.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка поручена или будет поручена такому лицу;
6.1.10. иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
6.2. Субъекты персональных данных вправе требовать уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Сведения, указанные в подпунктах 6.1.1-6.1.8 пункта 6.1 настоящего Положения, должны быть предоставлены субъекту персональных данных оператором безвозмездно в доступной форме, без указания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.4. Сведения, указанные в подпунктах 6.1.1-6.1.8 пункта 6.1 настоящего Положения, предоставляются субъекту персональных данных или его представителю уполномоченным лицом, осуществляющим обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:
6.4.1. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
6.4.2. сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Министерством (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей государственной гражданской службы Пермского края), либо сведения, иным образом подтверждающие факт обработки персональных данных в Министерстве, подпись субъекта персональных данных или его представителя.
6.5. Исполнение запроса субъектов персональных данных или их представителей осуществляется в сроки, установленные Законом о персональных данных.
6.6. Повторный запрос на получения сведений, указанных подпунктах 6.1.1-6.1.8 пункта 6.1 настоящего Положения, и ознакомление с такими персональными данными может быть направлен не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.
6.7. Субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения сведений, указанных в подпунктах 6.1.1-6.1.8 пункта 6.1 настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 6.6. настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными пункте 6.4 настоящего Положения, должен содержать обоснование направления повторного запроса.
6.8. Министерство, функциональные органы вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, установленным настоящим положением. Такой отказ должен быть мотивированным.
6.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, установленных Законом о персональных данных.
VII. Правила осуществления внутреннего контроля соответствия
обработки персональных данных требованиям к защите
персональных данных, установленным законодательством
Российской Федерации в области персональных данных
7.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организовывается проведение периодических проверок условий обработки персональных данных.
Проверки проводятся ответственным за организацию обработки персональных данных.
7.2. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании приказа Министерства не реже одного раза в год или на основании поступившего письменного заявления субъекта персональных данных о нарушениях правил обработки персональных данных (внеплановые проверки).
7.3. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
7.4. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть установлены:
7.4.1. порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
7.4.2. порядок и условия применения средств защиты информации;
7.4.3. соблюдение правил доступа к персональным данным;
7.4.4. осуществление мероприятий по обеспечению целостности персональных данных.
7.5. Ответственный за организацию обработки персональных данных при проведении проверки условий обработки персональных данных имеет право:
7.5.1. запрашивать у лиц, уполномоченных на обработку персональных данных, информацию, необходимую для реализации полномочий;
7.5.2. требовать от лиц, уполномоченных на обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
7.5.3. принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
7.5.4. вносить на рассмотрение министра предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке, а также предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
7.6. Ответственный за организацию обработки персональных данных при проведении проверки условий обработки персональных данных должен обеспечивать конфиденциальность ставших ему известными в ходе проведения мероприятий внутреннего контроля персональных данных.
7.7. Проверка условий обработки персональных данных должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения об ее проведении.
7.8. По результатам проведенной проверки условий обработки персональных данных ответственный за организацию обработки персональных данных представляет министру письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.
VIII Порядок доступа в помещения, в которых ведется обработка
персональных данных
8.1. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.
8.2. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.
Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
8.3. Вскрытие и закрытие помещений, в которых ведется обработка персональных данных, производится лицами, имеющими право доступа в данные помещения.
8.4. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня лица, имеющие право доступа в помещения, обязаны:
убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть шкафы;
отключить технические средства (кроме постоянно действующей техники) и электроприборы, выключить освещение;
закрыть окна;
закрыть двери.
8.5. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только лица, непосредственно работающие в данном помещении.
Иные лица имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии лиц, непосредственно работающих в данных помещениях.
8.6. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты.
8.7. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии лица, работающего в данном помещении.
8.8. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на лиц, обрабатывающих персональные данные.
УТВЕРЖДЕН
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
Перечень персональных данных
государственных гражданских служащих Министерства по регулированию контрактной системы в сфере закупок Пермского края (далее – Министерство), работников Министерства, замещающих должности, не являющиеся должностями государственной гражданской службы, граждан, претендующих на замещение вакантных должностей в Министерстве, обрабатываемых в информационных системах персональных данных
1. фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);
2. число, месяц, год рождения;
3. место рождения;
4. информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
6. адрес места жительства (адрес регистрации, фактического проживания);
7. номер контактного телефона или сведения о других способах связи;
8. реквизиты страхового свидетельства государственного пенсионного страхования;
9. идентификационный номер налогоплательщика и членов его семьи;
10. реквизиты страхового медицинского полиса обязательного медицинского страхования;
11. реквизиты свидетельства государственной регистрации актов гражданского состояния;
12. информация о семейном положении, составе семьи, близких родственниках (в том числе бывших);
13. сведения о трудовом и общем стаже;
14. сведения о предыдущем месте работы;
14. сведения о воинском учете и реквизиты документов воинского учета;
15. сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
16. сведения о прохождении государственной гражданской службы, в том числе: дата основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы;
17. информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
18. сведения о пребывании за границей;
19. информация о наличии или отсутствии судимости;
20. информация об оформленных допусках к государственной тайне;
21. информация о государственных наградах, иных наградах и знаках отличия;
22. сведения о социальных льготах;
23. сведения о заработной плате;
24. место работы или учебы членов семьи и родственников;
25. характер взаимоотношений в семье;
26. адрес личной электронной почты;
27. фотографии и иные сведения, относящиеся к персональным данным;
28. состав декларируемых сведений о наличии материальных ценностей;
29. результаты сдачи тестирования (анкетирования).
30. результаты медицинских обследований на предмет годности к осуществлению трудовых обязанностей.
УТВЕРЖДЕН
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
ПЕРЕЧЕНЬ персональных данных
субъектов персональных данных, обрабатываемых в иных информационных системах Министерства по регулированию контрактной системы в сфере закупок Пермского края
ФИО;
дата рождения;
паспортные данные;
адрес места жительства;
номер домашнего телефона.
УТВЕРЖДЕНО
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
ПОРЯДОК
ОРГАНИЗАЦИИ МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ МИНИСТЕРСТВА ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ В СФЕРЕ ЗАКУПОК ПЕРМСКОГО КРАЯ
N
Наименование мероприятия
Срок выполнения
Ответственные за выполнение
1
2
3
4
1
Направление в
уполномоченный орган по защите прав субъектов персональных данных
(Роскомнадзор)
уведомления установленной
формы о намерении
осуществлять обработку
персональных данных с
использованием средств
автоматизации
до начала обработки
персональных данных либо в случае изменения сведений, указанных в уведомлении, а также в случае прекращения
обработки персональных
данных в течение 10 рабочих дней с даты
возникновения таких
изменений или с даты
прекращения обработки
персональных данных
лицо, ответственное за организацию обработки персональных данных в Министерстве
2
Подготовка правового
основания обработки
персональных данных, в
том числе: разработка проекта правового акта о вводе в эксплуатацию
информационной системы персональных данных, включение информационной
системы персональных
в перечень информационных систем
персональных данных
при создании
информационной системы
персональных данных
заместитель начальника управления, начальник отдела информационного обеспечения управления организации закупок Министерства
3
Организация проведения классификации
информационных систем
персональных данных
при создании
информационной системы
персональных данных;
при выявлении персональных данных в других информационных системах;
при изменении состава,
структуры или технических
особенностей построения
действующей информационной
системы персональных
данных (изменение
программного обеспечения,
топологии и прочее)
заместитель начальника управления, начальник отдела информационного обеспечения управления организации закупок Министерства
4
Организация работы по выявлению угроз
безопасности и разработке моделей угроз
при создании новой
информационной системы
персональных данных или
создании системы защиты
действующей информационной
системы персональных
данных
заместитель начальника управления, начальник отдела информационного обеспечения управления организации закупок Министерства
5
Обеспечение исключения угроз безопасности путем
организации передачи
персональных данных с
помощью сменных
носителей, создания
автономных информационных
систем персональных
данных на выделенных
автоматизированных
рабочих местах и прочих
доступных мер
при создании новой
информационной системы
персональных данных или
создании системы защиты
действующей информационной
системы персональных
данных
заместитель начальника управления, начальник отдела информационного обеспечения управления организации закупок Министерства
УТВЕРЖДЕНО
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
государственного гражданского служащего Министерства
по регулированию контрактной системы в сфере закупок Пермского края, уполномоченного на обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных
данных, ставших известными ему в связи с исполнением
должностных обязанностей
Я, __________________________________________________________________,
(фамилия, имя, отчество)
__________________________________________________________________
(должность)
__________________________________________________________________,
обязуюсь прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта, освобождения меня от замещаемой должности и увольнения с государственной гражданской службы Пермского края.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставших известными мне в связи с исполнением должностных обязанностей.
Ответственность, предусмотренная Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и другими федеральными законами, мне разъяснена.
"___" ____________ 20___ г. _____________ _______________________
(дата) (подпись) (расшифровка подписи)
УТВЕРЖДЕНО
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
СОГЛАСИЕ
на обработку персональных данных
Я, __________________________________________________________________,
(фамилия, имя, отчество субъекта персональных данных или представителя этого субъекта полностью)
проживающий по адресу: __________________________________________________________________
__________________________________________________________________,
(адрес по паспорту)
документ, удостоверяющий личность: _________________________________
номер ____________________, дата выдачи ____________________________,
кем выдан: ________________________________________________________,
действующий на основании <*>: _____________________________________
__________________________________________________________________,
(реквизиты доверенности или иного документа, подтверждающего полномочия представителя субъекта)
своей волей и в своем интересе/в интересе представляемого лица <*>:
_________________________________________________________________
(фамилия, имя, отчество представляемого лица - субъекта персональных данных),
__________________________________________________________________
реквизиты основного документа, удостоверяющего личность представляемого лица, сведения о дате выдачи указанного документа и выдавшем его органе)
выражаю согласие на обработку моих/представляемого лица персональных данных:
__________________________________________________________________
(наименование подразделения, получающего согласие субъекта персональных данных)
с целью: __________________________________________________________________
следующих персональных данных:
__________________________________________________________________
__________________________________________________________________
С предоставленными персональными данными планируется совершать следующие действия:
__________________________________________________________________
(перечень действий с персональными данными, на совершение которых дается согласие (сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение)
Планируются следующие способы обработки представленных персональных данных:
__________________________________________________________________
(автоматизированная, неавтоматизированная, смешанная)
Настоящее согласие действует:
_________________________________________________________________
(указать срок, установленный в соответствии с действующим законодательством)
Настоящее согласие может быть отозвано путем подачи письменного заявления в адрес
__________________________________________________________________
(наименование подразделения, получающего согласие субъекта персональных данных)
"___"_________ 20__ г. ____________________________________________________
(подпись, фамилия, имя, отчество прописью полностью)
--------------------------------
<*> Заполняется только при получении согласия от представителя субъекта персональных данных.
УТВЕРЖДЕНО
приказом Министерства по регулированию контрактной системы в сфере закупок Пермского края
от 04.04.2014 №СЭД-32-01-04-51
ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных
юридических последствий отказа предоставить свои персональные данные
Мне, __________________________________________________________
____________________________________________________________________,
претендующему(ей) (замещающему(ей)) должность, претендующему на включение в кадровый резерв на государственную гражданскую службу Пермского края, _____________________________________________________
____________________________________________________________________
разъяснено, что в случае моего отказа от предоставления своих персональных
данных для замещения должности государственной гражданской службы Пермского края (для замещения государственной должности Пермского края, должности, не являющейся должностью государственной гражданской службы Пермского края, включения в кадровый резерв на государственную гражданскую службу Пермского края) заключение служебного контракта (трудового договора, включение в кадровый резерв на государственную гражданскую службу Пермского края) невозможно.
"___" ____________ 20___ г. _____________ _______________________
(дата) (подпись) (расшифровка подписи)
Дополнительные сведения
| Государственные публикаторы: | " Бюллетень законов Пермского края, правовых актов губернатора Пермского края, Правительства Пермского края, исполнительных органов государственной власти Пермского края" № 16 от 28.04.2014 |
| Рубрики правового классификатора: | 160.040.100 Иные вопросы безопасности общества, 160.040.000 Безопасность общества, 020.010.050 Органы исполнительной власти субъектов Российской Федерации, 020.020.020 Государственная служба субъектов Российской Федерации |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
