Основная информация
| Дата опубликования: | 08 сентября 2011г. |
| Номер документа: | RU58000201101222 |
| Текущая редакция: | 5 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Москва |
| Принявший орган: | Управление по регулированию тарифов и энергосбережению Пензенской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
УПРАВЛЕНИЕ ПО РЕГУЛИРОВАНИЮ ТАРИФОВ И ЭНЕРГОСБЕРЕЖЕНИЮ ПЕНЗЕНСКОЙ ОБЛАСТИ
ПРИКАЗ
от 8 сентября 2011 г. № 83-од
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ ПО РЕГУЛИРОВАНИЮ ТАРИФОВ И ЭНЕРГОСБЕРЕЖЕНИЮ
ПЕНЗЕНСКОЙ ОБЛАСТИ
(с изменениями, внесенными приказом Управления по регулированию тарифов и энергосбережению Пензенской области от 23.10.2014 № 109-од, от 24.12.2014 № 139-од, от 30.03.2015 № 36-од, от 09.12.2015 № 82-од)
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями) приказываю:
1. Утвердить Положение об обработке и защите персональных данных в Управлении по регулированию тарифов и энергосбережению Пензенской области согласно приложению.
2. Признать утратившим силу пункт 1 приказа Управления по регулированию тарифов и энергосбережению Пензенской области от 5 июля 2011г. № 60-од «Об утверждении Положения об обработке и защите персональных данных в Управлении по регулированию тарифов и энергосбережению Пензенской области».
3. Опубликовать настоящий приказ в газете «Пензенская правда».
Начальник Управления
Д.В. СЕМЁНОВ
УТВЕРЖДЕНО
Приказом Управления по
регулированию тарифов и
энергосбережению
Пензенской области
от «8» сентября 2011 г. № 83-од
ПОЛОЖЕНИЕ
об обработке и защите персональных данных в Управлении по регулированию тарифов и энергосбережению Пензенской области
(с изменениями, внесенными приказом Управления по регулированию тарифов и энергосбережению Пензенской области от 23.10.2014 № 109-од, от 30.03.2015 № 36-од, от 09.12.2015 № 82-од)
1. Термины и определения
1.1. В настоящем Положении об обработке и защите персональных данных в Управлении по регулированию тарифов и энергосбережению Пензенской области (далее - Управление) используются основные понятия и термины, определённые Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями) и от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с последующими изменениями).
2. Общие положения
2.1. Целью Положения об обработке и защите персональных данных в Управлении (далее - Положение) является обеспечение защиты персональных данных в Управлении от несанкционированного доступа, неправомерного их использования или утраты.
При этом согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных структурных подразделений Управления и является обязательным для исполнения всеми сотрудниками Управления, имеющими доступ к персональным данным.
2.3. Настоящее Положение разработано в соответствии с:
- Конституцией Российской Федерации (с последующими изменениями);
- Трудовым кодексом Российской Федерации (с последующими изменениями);
- Кодексом Российской Федерации об административных правонарушениях (с последующими изменениями);
- Гражданским кодексом Российской Федерации (с последующими изменениями);
- Уголовным кодексом Российской Федерации (с последующими изменениями);
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями);
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с последующими изменениями);
- постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282 (с последующими изменениями).
2.4. Обработка персональных данных в Управлении осуществляется на основе принципов, определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями).
2.5. Ответственным структурным подразделением по разработке мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Управления, а также по координации работ в сфере защиты конфиденциальной информации является отдел правового и информационного обеспечения Управления.
Ответственными структурными подразделениями по выполнению мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Управления являются: отдел правового и информационного обеспечения, отдел отраслевых технологий, энергетики и энергосбережения, отдел регулирования тарифов на топливно-энергетические ресурсы, услуги по их передаче и поставке, отдел ценообразования на лекарственные средства, транспортные коммунальные услуги.
(с изменениями, внесенными приказом Управления по регулированию тарифов и энергосбережению Пензенской области от 09.12.2015 № 82-од)
2.6. Начальники отделов Управления, производящих обработку персональных данных, являются ответственными за обработку и защиту персональных данных в возглавляемых структурных подразделениях.
2.7. Отделами Управления, осуществляющими обработку персональных данных субъектов персональных данных, являются:
- Отдел отраслевых технологий, энергетики и энергосбережения;
(с изменениями, внесенными приказом Управления по регулированию тарифов и энергосбережению Пензенской области от 09.12.2015 № 82-од)
- Отдел регулирования тарифов на топливно-энергетические ресурсы, услуги по их передаче и поставке;
- Отдел ценообразования на лекарственные средства, транспортные и коммунальные услуги;
- Отдел правового и информационного обеспечения;
- Главный специалист-эксперт - главный бухгалтер.
(абзац в редакции приказа Управления по регулированию тарифов и энергосбережению Пензенской области от 30.03.2015 № 36-од)
(в редакции приказа Управления по регулированию тарифов и энергосбережению Пензенской области от 23.10.2014 № 109-од)
2.8. Обработка общедоступных персональных данных руководителей и сотрудников организаций, осуществляющих регулируемые виды деятельности на территории Пензенской области, в целях исполнения возложенных на Управление государственных функций ведется в отделе правового и информационного обеспечения, отделе энергосбережения и отраслевых технологий, отделе регулирования тарифов на топливно-энергетические ресурсы, услуги по их передаче и поставке, отделе ценообразования на лекарственные средства, транспортные коммунальные услуги.
2.9. В отделах Управления обработка персональных данных, содержащихся в информационных системах персональных данных либо извлеченных из таких систем, считается осуществляемой без использования средств автоматизации (неавтоматизированной), так как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека.
2.10. Методы и способы защиты информации, целесообразность их применения для обеспечения безопасности персональных данных в информационных системах, осуществляющих обработку персональных данных без использования средств автоматизации, определяются начальником Управления.
3. Условия сбора и обработки персональных данных
3.1. Сбор персональных данных может осуществляться как путем представления их самим субъектом, так и путем получения из иных источников. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники, допущенные к обработке персональных данных, должны сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
3.2. Обработка персональных данных в Управлении осуществляется с согласия субъекта персональных данных на обработку его персональных данных, составленного по форме согласно приложению № 1 к настоящему Положению или сформированного в информационной системе персональных данных, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями).
3.3. Управление не имеет право получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных действующим законодательством.
3.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.
3.5. Сотрудники Управления, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим
Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме, согласно приложению № 2 к настоящему Положению.
4. Хранение и использование персональных данных
4.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.2. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.3. Перечень должностных лиц Управления, допущенных к пользованию личными делами, которые ведутся отделом правового и информационного обеспечения Управления по регулированию тарифов и энергосбережению Пензенской области определён приложением № 3 к настоящему Положению.
4.4. Список ответственных лиц в Управлении за обработку персональных
данных, подлежащих защите, утверждается приказом Управления.
5. Передача персональных данных субъектов
5.1. Передача персональных данных субъекта возможна только с согласия субъекта или в случаях, предусмотренных законодательством.
5.2. При передаче персональных данных субъекта уполномоченные сотрудники должны соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, установленных федеральным законом;
- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
- не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовых функций;
- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим защиты персональных данных;
- передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым кодексом, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.
5.3. Передача персональных данных от Управления или его представителей внешнему оператору может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
5.4. Не допускается отвечать на вопросы, связанные с передачей персональной данных по телефону или факсу.
6. Права субъектов по обеспечению защиты персональных данных,
хранящихся в Управлении
6.1. В целях защиты персональных данных, хранящихся в Управлении, субъект имеет право:
- на полную информацию о своих персональных данных и обработке этих данных;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона;
- дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев предусмотренных федеральным законодательством;
- требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Требования к обработке и защите персональных данных в информационных системах Управления
7.1. Обработка персональных данных в отделах Управления организуется на основании постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
7.2. Защита персональных данных, осуществляемая в структурных подразделениях Управления, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были выполнены следующие требования:
- определены места хранения персональных данных (материальных носителей),
- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
7.3. Применяемые меры по защите персональных данных в отделах
Управления должны быть направлены на:
- ограничение доступа персонала и посторонних лиц в помещения, где размещены информационные системы персональных данных и хранятся материальные носители персональных данных;
организацию учёта и надёжного хранения материальных носителей персональных данных, их обращения, исключающее хищение, подмену и уничтожение;
7.4. Обработка персональных данных на базе автономных ПЭВМ в структурных подразделениях Управления должна быть основана на технологии обработки информации с использованием съемных накопителей информации большой емкости, которая предусматривает запись на съемный накопитель прикладного программного обеспечения (или его части) и обрабатываемых персональных данных. В качестве устройств для работы по этой технологии могут быть использованы как встроенные (съемные), так и выносные накопители на магнитных, магнито-оптических дисках различной конструкции. Одновременно может быть установлено несколько съемных накопителей информации большой емкости.
7.5. Порядок защиты персональных данных на базе автономных ПЭВМ в отделах Управления определен Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282 (с последующими изменениями).
8. Порядок привлечения специализированных сторонних организаций к разработке информационных систем персональных данных и средств защиты
информации Управления
8.1. Порядок привлечения специализированных сторонних организаций к разработке и эксплуатации новых информационных систем персональных данных, их задачи и функции на различных стадиях создания и эксплуатации определяются начальниками структурных подразделений Управления, у которых находится информационная система, исходя из особенностей информационных систем.
8.2. Для выбора и реализации методов и способов защиты информации в информационной системе Управлением может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
8.3.
9. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных
9.1. Лица, виновные в нарушении требований законодательства, регулирующих получение, обработку и защиту персональных данных, несут предусмотренную действующим законодательством ответственность.
9.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Приложение 1
к Положению об обработке и защите
персональных данных в Управлении
по регулированию тарифов
и энергосбережению Пензенской
области, утвержденному приказом
Управления по регулированию тарифов
и энергосбережению Пензенской области
от «8» сентября 2011 г. №83-од
(в редакции приказаУправления по регулированию тарифов и энергосбережению Пензенской области от 09.12.2015 № 82-од)
Согласие на обработку персональных данных
Я
(фамилия)
(имя)
(отчество)
(основной документ, удостоверяющий личность)
(номер основного документа, удостоверяющего личность)
(сведения о дате выдачи указанного документа)
(сведения о выдавшем указанный документ органе)
зарегистрированный(ая)
по адресу:
(адрес)
Информация о представителе субъекта персональных данных:
Я
(фамилия)
(имя)
(отчество)
(основной документ, удостоверяющий личность)
(номер основного документа, удостоверяющего личность)
(сведения о дате выдачи указанного документа)
(сведения о выдавшем указанный документ органе)
зарегистрированный(ая)
по адресу:
(адрес)
согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»
(с последующими изменениями) свободно, своей волей и в своем интересе даю согласие Управлению по регулированию тарифов и энергосбережению Пензенской области (440066, г. Пенза, 2-й Виноградный проезд, д.30) на обработку моих персональных данных в составе:
(перечень персональных данных, на обработку которых дается согласие субъекта персональных данных)
с целью
(цель или цели обработки персональных данных)
от:
(источник получения персональных данных субъекта персональных данных)
Обработка персональных данных включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (в случае обработки общедоступных персональных данных), передачу(распространение).
(перечень действий с персональными данными, на совершение которых дается согласие)
способами, определяемыми (перечислить договоры, регламенты, правила, инструкции и положения, которые определяют работу в информационных системах персональных данных и программных продуктах таких систем) или (перечислить способы обработки и в каких информационных системах персональных данных производится обработка персональных данных)
(общее описание используемых оператором способов обработки персональных данных)
в документальной/электронной/устной (в том числе по телефону) форме
(нужное подчеркнуть)
на срок:
(срок, в течение которого действует согласие)
Наименование оператора и адрес, которому будут передаваться персональные данные.
Перечень персональных данных, на передачу которых дается согласие субъекта персональных данных.
Цель передачи персональных данных.
Срок, в течение которого действует согласие на передачу.
Порядок отзыва согласия:
Отзыв согласия подается в письменном виде лицом, указанным в согласии на обработку персональных данных, лично. Отзыв должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных; сведения о дате выдачи указанного документа и выдавшем его органе; собственноручную подпись субъекта персональных данных; сведения о согласии на обработку персональных данных (дата и адрес, по которому давалось согласие). При подаче лицом, осуществляющим прием такого отзыва, производится удостоверение личности подающего такой отзыв.
Отзыв согласия осуществляется по адресу:
В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекращение обработки персональных данных и уничтожение персональных данных будет произведено в течение 30 дней с момента поступления.
Данное согласие вступает в силу с момента подписания.
Я подтверждаю, что предоставленные мною персональные данные являются полными, актуальными и достоверными.
Я обязуюсь своевременно извещать об изменении предоставленных персональных данных.
Содержание действий по обработке персональных данных, необходимость их выполнения, а также мои права по отзыву данного согласия мне разъяснены.
«
»
20
г.
(личная подпись)
(инициалы, фамилия)
Приложение 2
к Положению об обработке и защите
персональных данных в Управлении
по регулированию тарифов
и энергосбережению Пензенской
области, утвержденному приказом
Управления по регулированию тарифов
и энергосбережению Пензенской области
от «8» сентября 2011 года №83-од
ОБЯЗАТЕЛЬСТВО
о неразглашении персональных данных
Я, ,
(фамилия, имя. отчество)
замещающий(ая) должность государственной гражданской службы Пензенской
области
(наименование должности)
предупрежден(а), что на период исполнения должностных обязанностей в соответствии с должностным регламентом, мне будет предоставлен допуск к работе с персональными данными.
Настоящим добровольно принимаю на себя обязательства:
- не разглашать сведения, составляющие персональные данные, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей;
- не сообщать устно или письменно, не передавать третьим лицам и не раскрывать публично сведения о персональных данных, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей;
- в случае попытки третьих лиц получить от меня сведения о персональных данных, немедленно сообщать об этом непосредственному руководителю;
- не использовать сведения о персональных данных с целью получения выгоды;
- незамедлительно сообщать непосредственному руководителю об утрате или недостаче носителей информации, пропусков, удостоверений, ключей от хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению сведений о персональных данных;
- в случае прекращения служебного контракта все материальные носители, содержащие сведения о персональных данных (флеш-накопители, дискеты, компакт-диски, документы, черновики, распечатки и пр.) передать непосредственному руководителю;
- выполнять требования нормативных правовых актов, регламентирующих вопросы обработки и защиты персональных данных;
Я предупрежден (а), что в случае нарушения данного обязательства буду привлечен (а) к ответственности в соответствии с действующим законодательством Российской Федерации.
____________________ ___________________________________
(подпись) (расшифровка подписи)
« » г.
Приложение 3
к Положению об обработке и защите
персональных данных в Управлении
по регулированию тарифов
и энергосбережению Пензенской
области, утвержденному приказом
Управления по регулированию тарифов
и энергосбережению Пензенской области
от «8» сентября 2011 года №83-од
(с изменениями, внесенными приказом Управления по регулированию тарифов и энергосбережению Пензенской области от 24.12.2014 № 139-од)
Список должностных лиц Управления по регулированию тарифов и энергосбережению Пензенской области, допускаемых к пользованию личными делами, которые ведутся отделом правового и информационного обеспечения Управления по регулированию тарифов и энергосбережению Пензенской области
1. Начальник Управления по регулированию тарифов и энергосбережению Пензенской области;
2. Заместитель начальника Управления - начальник отдела отраслевых технологий, энергетики и энергосбережения (допускается к пользованию личными делами сотрудников возглавляемого отдела);
(с изменениями, внесенными приказом Управления по регулированию тарифов и энергосбережению Пензенской области от 24.12.2014 № 139-од)
3. Начальник отдела регулирования тарифов на топливно-энергетические ресурсы, услуги по их передаче и поставке (допускается к пользованию личными делами сотрудников возглавляемого отдела);
4. Начальник отдела ценообразования на лекарственные средства, транспортные коммунальные услуги (допускается к пользованию личными делами подчиненных сотрудников отдела);
5. Начальник отдела правового и информационного обеспечения;
6. Ведущий специалист-эксперт отдела правового и информационного обеспечения, назначенный ответственным за ведение личных дел государственных гражданских служащих в Управлении.
УПРАВЛЕНИЕ ПО РЕГУЛИРОВАНИЮ ТАРИФОВ И ЭНЕРГОСБЕРЕЖЕНИЮ ПЕНЗЕНСКОЙ ОБЛАСТИ
ПРИКАЗ
от 8 сентября 2011 г. № 83-од
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ ПО РЕГУЛИРОВАНИЮ ТАРИФОВ И ЭНЕРГОСБЕРЕЖЕНИЮ
ПЕНЗЕНСКОЙ ОБЛАСТИ
(с изменениями, внесенными приказом Управления по регулированию тарифов и энергосбережению Пензенской области от 23.10.2014 № 109-од, от 24.12.2014 № 139-од, от 30.03.2015 № 36-од, от 09.12.2015 № 82-од)
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями) приказываю:
1. Утвердить Положение об обработке и защите персональных данных в Управлении по регулированию тарифов и энергосбережению Пензенской области согласно приложению.
2. Признать утратившим силу пункт 1 приказа Управления по регулированию тарифов и энергосбережению Пензенской области от 5 июля 2011г. № 60-од «Об утверждении Положения об обработке и защите персональных данных в Управлении по регулированию тарифов и энергосбережению Пензенской области».
3. Опубликовать настоящий приказ в газете «Пензенская правда».
Начальник Управления
Д.В. СЕМЁНОВ
УТВЕРЖДЕНО
Приказом Управления по
регулированию тарифов и
энергосбережению
Пензенской области
от «8» сентября 2011 г. № 83-од
ПОЛОЖЕНИЕ
об обработке и защите персональных данных в Управлении по регулированию тарифов и энергосбережению Пензенской области
(с изменениями, внесенными приказом Управления по регулированию тарифов и энергосбережению Пензенской области от 23.10.2014 № 109-од, от 30.03.2015 № 36-од, от 09.12.2015 № 82-од)
1. Термины и определения
1.1. В настоящем Положении об обработке и защите персональных данных в Управлении по регулированию тарифов и энергосбережению Пензенской области (далее - Управление) используются основные понятия и термины, определённые Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями) и от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с последующими изменениями).
2. Общие положения
2.1. Целью Положения об обработке и защите персональных данных в Управлении (далее - Положение) является обеспечение защиты персональных данных в Управлении от несанкционированного доступа, неправомерного их использования или утраты.
При этом согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных структурных подразделений Управления и является обязательным для исполнения всеми сотрудниками Управления, имеющими доступ к персональным данным.
2.3. Настоящее Положение разработано в соответствии с:
- Конституцией Российской Федерации (с последующими изменениями);
- Трудовым кодексом Российской Федерации (с последующими изменениями);
- Кодексом Российской Федерации об административных правонарушениях (с последующими изменениями);
- Гражданским кодексом Российской Федерации (с последующими изменениями);
- Уголовным кодексом Российской Федерации (с последующими изменениями);
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями);
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с последующими изменениями);
- постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282 (с последующими изменениями).
2.4. Обработка персональных данных в Управлении осуществляется на основе принципов, определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями).
2.5. Ответственным структурным подразделением по разработке мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Управления, а также по координации работ в сфере защиты конфиденциальной информации является отдел правового и информационного обеспечения Управления.
Ответственными структурными подразделениями по выполнению мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Управления являются: отдел правового и информационного обеспечения, отдел отраслевых технологий, энергетики и энергосбережения, отдел регулирования тарифов на топливно-энергетические ресурсы, услуги по их передаче и поставке, отдел ценообразования на лекарственные средства, транспортные коммунальные услуги.
(с изменениями, внесенными приказом Управления по регулированию тарифов и энергосбережению Пензенской области от 09.12.2015 № 82-од)
2.6. Начальники отделов Управления, производящих обработку персональных данных, являются ответственными за обработку и защиту персональных данных в возглавляемых структурных подразделениях.
2.7. Отделами Управления, осуществляющими обработку персональных данных субъектов персональных данных, являются:
- Отдел отраслевых технологий, энергетики и энергосбережения;
(с изменениями, внесенными приказом Управления по регулированию тарифов и энергосбережению Пензенской области от 09.12.2015 № 82-од)
- Отдел регулирования тарифов на топливно-энергетические ресурсы, услуги по их передаче и поставке;
- Отдел ценообразования на лекарственные средства, транспортные и коммунальные услуги;
- Отдел правового и информационного обеспечения;
- Главный специалист-эксперт - главный бухгалтер.
(абзац в редакции приказа Управления по регулированию тарифов и энергосбережению Пензенской области от 30.03.2015 № 36-од)
(в редакции приказа Управления по регулированию тарифов и энергосбережению Пензенской области от 23.10.2014 № 109-од)
2.8. Обработка общедоступных персональных данных руководителей и сотрудников организаций, осуществляющих регулируемые виды деятельности на территории Пензенской области, в целях исполнения возложенных на Управление государственных функций ведется в отделе правового и информационного обеспечения, отделе энергосбережения и отраслевых технологий, отделе регулирования тарифов на топливно-энергетические ресурсы, услуги по их передаче и поставке, отделе ценообразования на лекарственные средства, транспортные коммунальные услуги.
2.9. В отделах Управления обработка персональных данных, содержащихся в информационных системах персональных данных либо извлеченных из таких систем, считается осуществляемой без использования средств автоматизации (неавтоматизированной), так как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека.
2.10. Методы и способы защиты информации, целесообразность их применения для обеспечения безопасности персональных данных в информационных системах, осуществляющих обработку персональных данных без использования средств автоматизации, определяются начальником Управления.
3. Условия сбора и обработки персональных данных
3.1. Сбор персональных данных может осуществляться как путем представления их самим субъектом, так и путем получения из иных источников. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники, допущенные к обработке персональных данных, должны сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
3.2. Обработка персональных данных в Управлении осуществляется с согласия субъекта персональных данных на обработку его персональных данных, составленного по форме согласно приложению № 1 к настоящему Положению или сформированного в информационной системе персональных данных, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями).
3.3. Управление не имеет право получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных действующим законодательством.
3.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.
3.5. Сотрудники Управления, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим
Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме, согласно приложению № 2 к настоящему Положению.
4. Хранение и использование персональных данных
4.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.2. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.3. Перечень должностных лиц Управления, допущенных к пользованию личными делами, которые ведутся отделом правового и информационного обеспечения Управления по регулированию тарифов и энергосбережению Пензенской области определён приложением № 3 к настоящему Положению.
4.4. Список ответственных лиц в Управлении за обработку персональных
данных, подлежащих защите, утверждается приказом Управления.
5. Передача персональных данных субъектов
5.1. Передача персональных данных субъекта возможна только с согласия субъекта или в случаях, предусмотренных законодательством.
5.2. При передаче персональных данных субъекта уполномоченные сотрудники должны соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, установленных федеральным законом;
- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
- не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовых функций;
- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим защиты персональных данных;
- передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым кодексом, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.
5.3. Передача персональных данных от Управления или его представителей внешнему оператору может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
5.4. Не допускается отвечать на вопросы, связанные с передачей персональной данных по телефону или факсу.
6. Права субъектов по обеспечению защиты персональных данных,
хранящихся в Управлении
6.1. В целях защиты персональных данных, хранящихся в Управлении, субъект имеет право:
- на полную информацию о своих персональных данных и обработке этих данных;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона;
- дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев предусмотренных федеральным законодательством;
- требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Требования к обработке и защите персональных данных в информационных системах Управления
7.1. Обработка персональных данных в отделах Управления организуется на основании постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
7.2. Защита персональных данных, осуществляемая в структурных подразделениях Управления, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были выполнены следующие требования:
- определены места хранения персональных данных (материальных носителей),
- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
7.3. Применяемые меры по защите персональных данных в отделах
Управления должны быть направлены на:
- ограничение доступа персонала и посторонних лиц в помещения, где размещены информационные системы персональных данных и хранятся материальные носители персональных данных;
организацию учёта и надёжного хранения материальных носителей персональных данных, их обращения, исключающее хищение, подмену и уничтожение;
7.4. Обработка персональных данных на базе автономных ПЭВМ в структурных подразделениях Управления должна быть основана на технологии обработки информации с использованием съемных накопителей информации большой емкости, которая предусматривает запись на съемный накопитель прикладного программного обеспечения (или его части) и обрабатываемых персональных данных. В качестве устройств для работы по этой технологии могут быть использованы как встроенные (съемные), так и выносные накопители на магнитных, магнито-оптических дисках различной конструкции. Одновременно может быть установлено несколько съемных накопителей информации большой емкости.
7.5. Порядок защиты персональных данных на базе автономных ПЭВМ в отделах Управления определен Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282 (с последующими изменениями).
8. Порядок привлечения специализированных сторонних организаций к разработке информационных систем персональных данных и средств защиты
информации Управления
8.1. Порядок привлечения специализированных сторонних организаций к разработке и эксплуатации новых информационных систем персональных данных, их задачи и функции на различных стадиях создания и эксплуатации определяются начальниками структурных подразделений Управления, у которых находится информационная система, исходя из особенностей информационных систем.
8.2. Для выбора и реализации методов и способов защиты информации в информационной системе Управлением может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
8.3.
9. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных
9.1. Лица, виновные в нарушении требований законодательства, регулирующих получение, обработку и защиту персональных данных, несут предусмотренную действующим законодательством ответственность.
9.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Приложение 1
к Положению об обработке и защите
персональных данных в Управлении
по регулированию тарифов
и энергосбережению Пензенской
области, утвержденному приказом
Управления по регулированию тарифов
и энергосбережению Пензенской области
от «8» сентября 2011 г. №83-од
(в редакции приказаУправления по регулированию тарифов и энергосбережению Пензенской области от 09.12.2015 № 82-од)
Согласие на обработку персональных данных
Я
(фамилия)
(имя)
(отчество)
(основной документ, удостоверяющий личность)
(номер основного документа, удостоверяющего личность)
(сведения о дате выдачи указанного документа)
(сведения о выдавшем указанный документ органе)
зарегистрированный(ая)
по адресу:
(адрес)
Информация о представителе субъекта персональных данных:
Я
(фамилия)
(имя)
(отчество)
(основной документ, удостоверяющий личность)
(номер основного документа, удостоверяющего личность)
(сведения о дате выдачи указанного документа)
(сведения о выдавшем указанный документ органе)
зарегистрированный(ая)
по адресу:
(адрес)
согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»
(с последующими изменениями) свободно, своей волей и в своем интересе даю согласие Управлению по регулированию тарифов и энергосбережению Пензенской области (440066, г. Пенза, 2-й Виноградный проезд, д.30) на обработку моих персональных данных в составе:
(перечень персональных данных, на обработку которых дается согласие субъекта персональных данных)
с целью
(цель или цели обработки персональных данных)
от:
(источник получения персональных данных субъекта персональных данных)
Обработка персональных данных включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (в случае обработки общедоступных персональных данных), передачу(распространение).
(перечень действий с персональными данными, на совершение которых дается согласие)
способами, определяемыми (перечислить договоры, регламенты, правила, инструкции и положения, которые определяют работу в информационных системах персональных данных и программных продуктах таких систем) или (перечислить способы обработки и в каких информационных системах персональных данных производится обработка персональных данных)
(общее описание используемых оператором способов обработки персональных данных)
в документальной/электронной/устной (в том числе по телефону) форме
(нужное подчеркнуть)
на срок:
(срок, в течение которого действует согласие)
Наименование оператора и адрес, которому будут передаваться персональные данные.
Перечень персональных данных, на передачу которых дается согласие субъекта персональных данных.
Цель передачи персональных данных.
Срок, в течение которого действует согласие на передачу.
Порядок отзыва согласия:
Отзыв согласия подается в письменном виде лицом, указанным в согласии на обработку персональных данных, лично. Отзыв должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных; сведения о дате выдачи указанного документа и выдавшем его органе; собственноручную подпись субъекта персональных данных; сведения о согласии на обработку персональных данных (дата и адрес, по которому давалось согласие). При подаче лицом, осуществляющим прием такого отзыва, производится удостоверение личности подающего такой отзыв.
Отзыв согласия осуществляется по адресу:
В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекращение обработки персональных данных и уничтожение персональных данных будет произведено в течение 30 дней с момента поступления.
Данное согласие вступает в силу с момента подписания.
Я подтверждаю, что предоставленные мною персональные данные являются полными, актуальными и достоверными.
Я обязуюсь своевременно извещать об изменении предоставленных персональных данных.
Содержание действий по обработке персональных данных, необходимость их выполнения, а также мои права по отзыву данного согласия мне разъяснены.
«
»
20
г.
(личная подпись)
(инициалы, фамилия)
Приложение 2
к Положению об обработке и защите
персональных данных в Управлении
по регулированию тарифов
и энергосбережению Пензенской
области, утвержденному приказом
Управления по регулированию тарифов
и энергосбережению Пензенской области
от «8» сентября 2011 года №83-од
ОБЯЗАТЕЛЬСТВО
о неразглашении персональных данных
Я, ,
(фамилия, имя. отчество)
замещающий(ая) должность государственной гражданской службы Пензенской
области
(наименование должности)
предупрежден(а), что на период исполнения должностных обязанностей в соответствии с должностным регламентом, мне будет предоставлен допуск к работе с персональными данными.
Настоящим добровольно принимаю на себя обязательства:
- не разглашать сведения, составляющие персональные данные, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей;
- не сообщать устно или письменно, не передавать третьим лицам и не раскрывать публично сведения о персональных данных, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей;
- в случае попытки третьих лиц получить от меня сведения о персональных данных, немедленно сообщать об этом непосредственному руководителю;
- не использовать сведения о персональных данных с целью получения выгоды;
- незамедлительно сообщать непосредственному руководителю об утрате или недостаче носителей информации, пропусков, удостоверений, ключей от хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению сведений о персональных данных;
- в случае прекращения служебного контракта все материальные носители, содержащие сведения о персональных данных (флеш-накопители, дискеты, компакт-диски, документы, черновики, распечатки и пр.) передать непосредственному руководителю;
- выполнять требования нормативных правовых актов, регламентирующих вопросы обработки и защиты персональных данных;
Я предупрежден (а), что в случае нарушения данного обязательства буду привлечен (а) к ответственности в соответствии с действующим законодательством Российской Федерации.
____________________ ___________________________________
(подпись) (расшифровка подписи)
« » г.
Приложение 3
к Положению об обработке и защите
персональных данных в Управлении
по регулированию тарифов
и энергосбережению Пензенской
области, утвержденному приказом
Управления по регулированию тарифов
и энергосбережению Пензенской области
от «8» сентября 2011 года №83-од
(с изменениями, внесенными приказом Управления по регулированию тарифов и энергосбережению Пензенской области от 24.12.2014 № 139-од)
Список должностных лиц Управления по регулированию тарифов и энергосбережению Пензенской области, допускаемых к пользованию личными делами, которые ведутся отделом правового и информационного обеспечения Управления по регулированию тарифов и энергосбережению Пензенской области
1. Начальник Управления по регулированию тарифов и энергосбережению Пензенской области;
2. Заместитель начальника Управления - начальник отдела отраслевых технологий, энергетики и энергосбережения (допускается к пользованию личными делами сотрудников возглавляемого отдела);
(с изменениями, внесенными приказом Управления по регулированию тарифов и энергосбережению Пензенской области от 24.12.2014 № 139-од)
3. Начальник отдела регулирования тарифов на топливно-энергетические ресурсы, услуги по их передаче и поставке (допускается к пользованию личными делами сотрудников возглавляемого отдела);
4. Начальник отдела ценообразования на лекарственные средства, транспортные коммунальные услуги (допускается к пользованию личными делами подчиненных сотрудников отдела);
5. Начальник отдела правового и информационного обеспечения;
6. Ведущий специалист-эксперт отдела правового и информационного обеспечения, назначенный ответственным за ведение личных дел государственных гражданских служащих в Управлении.
Дополнительные сведения
| Государственные публикаторы: | ПЕНЗЕНСКАЯ ПРАВДА № 73 стр. 13-16 от 16.09.2011 |
| Рубрики правового классификатора: | 120.070.000 Информационная безопасность. Защита информации и прав субъектов в области информационных процессов и информатизации (см. также 160.040.030) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
