Основная информация
| Дата опубликования: | 14 марта 2018г. |
| Номер документа: | RU22000201800181 |
| Текущая редакция: | 2 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Москва |
| Принявший орган: | Министерство юстиции Алтайского края |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ЮСТИЦИИ АЛТАЙСКОГО КРАЯ
ПРИКАЗ
от 14 марта 2018 года № 104
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОРГАНИЗАЦИИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлениями Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» приказываю:
1. Утвердить прилагаемое Положение об организации обработки и обеспечения безопасности персональных данных в управлении юстиции Алтайского края.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
2. Признать утратившими силу:
приказ управления Алтайского края по обеспечению деятельности мировых судей от 28.07.2014 № 135-П «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных управления Алтайского края по обеспечению деятельности мировых судей»;
приказ управления записи актов гражданского состояния Алтайского края от 30.01.2015 № 4 «Об организации работы с персональными данными».
3. Настоящий приказ подлежит официальному опубликованию на «Официальном интернет-портале правовой информации» (www.pravo.gov.ru)».
Министр
К.Е. Портнягин
Утверждено
Приказом
Министерства юстиции
Алтайского края
от 14.03.2018 № 104
Положение
об организации обработки и обеспечения безопасности персональных данных в управлении юстиции Алтайского края
(наименование в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1. Общие положения
1.1. Положение об организации обработки и обеспечения безопасности персональных данных в управлении юстиции Алтайского края (далее - «Положение») устанавливает требования к обработке и защите персональных данных, определяет права, обязанности и ответственность сотрудников управления юстиции Алтайского края (далее - «Управление») при работе с персональными данными, права субъектов персональных данных, персональные данные которых обрабатываются в Управлении, меры, направленные на защиту персональных данных с использованием средств автоматизации и без использования таких средств, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Управлении.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), от 15.11.1997 № 143-ФЗ «Об актах гражданского состояния», Указом Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» (далее - «Указ № 609»), постановлениями Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», распоряжением Правительства Российской Федерации от 26.05.2005 № 667-р «Об утверждении формы анкеты, подлежащей представлению в государственный орган гражданином Российской Федерации, изъявившим желание участвовать в конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. Целью настоящего положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Действие настоящего положения не распространяется на отношения, возникающие при организации работы с персональными данными, отнесенными к сведениям, составляющим государственную тайну.
1.5. Управление является оператором персональных данных, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1.6. В Управлении обрабатываются персональные данные, доступ к которым ограничен и общедоступные персональных данные.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1.7. Требования настоящего Положения являются обязательными для исполнения всеми лицами, получившими доступ к персональным данным, и доводятся под роспись всем сотрудникам Управления.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1.8. Допуск сотрудников Управления к обработке персональных данных (далее - «сотрудники, допущенные к обработке персональных данных») осуществляется в соответствии с должностными регламентами (должностными инструкциями).
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1.9. Перечень лиц, осуществляющих обработку персональных данных либо имеющих доступ к персональным данным (далее - «ответственные должностные лица»), утверждаются приказом Управления.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1.10. Обработка персональных данных в Управлении осуществляется с целью реализации служебных и трудовых отношений, а также в связи с осуществлением полномочий в сфере государственной регистрации актов гражданского состояния.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
2. Категории и перечень персональных данных
2.1. В процессе осуществления деятельности в Управлении возможна обработка любых категорий персональных данных, за исключением специальных категорий.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
2.2. Перечень персональных данных, обрабатываемых в Управлении в связи с реализацией служебных и трудовых отношений, а также в связи с осуществлением полномочий в сфере государственной регистрации актов гражданского состояния, утверждается приказом Управления.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
2.3. Обработка персональных данных осуществляется в порядке, установленном законодательством Российской Федерации в области персональных данных.
3. Общий порядок обработки персональных данных
3.1. В Управлении обработка персональных данных включает в себя следующие действия: получение (сбор), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
3.2. Получение персональных данных осуществляется в соответствии с нормативными правовыми актами Российской Федерации в сфере государственной регистрации актов гражданского состояния, государственной гражданской службы и трудовых отношений.
3.3. Обработка и использование персональных данных осуществляется в целях обеспечения соблюдения законодательства Российской Федерации.
3.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.5. Обработка персональных данных с целью реализации служебных и трудовых отношений осуществляется с согласия субъекта персональных данных на обработку персональных данных. Согласие может быть в любое время отозвано по заявлению субъекта персональных данных. Последствия отказа о предоставлении своих персональных данных должны быть юридически разъяснены субъекту персональных данных.
3.5.1. Письменное согласие на обработку персональных данных включает в себя:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
подпись субъекта персональных данных,
3.5.2. Обработка персональных данных без согласия субъекта персональных данных может осуществляться в случаях, предусмотренных законодательством.
3.6. Обработка персональных данных при государственной регистрации актов гражданского состояния осуществляется без согласия в соответствии с пунктом 2 части 1 статьи 6 Федерального закона «О персональных данных».
3.7. Сотрудники допущенные к обработке персональных данных и/или ответственные должностные лица имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных функций в соответствии с должностными обязанностями указанных лиц.
3.7.1. Руководители структурных подразделений имеют доступ ко всей информации, содержащей персональные данные, обрабатываемой сотрудниками соответствующего структурного подразделения.
3.7.2. Обработка персональных данных в структурных подразделениях Управления и комиссиях созданных в Управлении ведется в объеме определяемом положениями о них.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
3.7.3. Обработка персональных данных членами комиссий может производиться в помещениях, в которых проводятся заседания данных комиссий. По окончании заседания комиссии, документы, содержащие персональные данные возвращаются на места их хранения.
3.8. Обработка персональных данных в Управлении осуществляется:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
без использования средств автоматизации - на бумажных носителях информации, содержащих персональные данные;
с использованием средств автоматизации - автоматизированная обработка информации содержащейся в информационных системах персональных данных Управления.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
3.9. Получение персональных данных.
3.9.1. Управление при осуществлении своей деятельности получает персональные данные в порядке, предусмотренном законодательством и настоящим Положением:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
объем и содержание получаемых сведений должны соответствовать Конституции Российской Федерации и федеральным законам;
персональные данные могут быть получены только у самого субъекта персональных данных;
получить персональные данные у третьего лица можно только с письменного согласия субъекта персональных данных, если невозможно получить информацию у него самого в порядке, предусмотренном п. 3.9.2 настоящего Положения;
запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы за исключением случаев, предусмотренных частью 2 статьи 16 Федерального закона «О персональных данных».
3.9.2. Для получения персональных данных от третьих лиц субъект персональных должен быть заранее об этом уведомлен и от него должно быть получено письменное согласие.
3.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.11. Передача персональных данных
3.11.1. Запрещается передача персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством.
4. Меры по обеспечению безопасности персональных данных
4.1. Меры по обеспечению безопасности персональных данных в Министерстве включают:
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.2. Организационные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных включают:
назначение лиц, ответственных за организацию обработки персональных данных и за обеспечение безопасности персональных данных в Управлении;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
утверждения перечня должностей установленных в Управлении, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
утверждения перечня информационных систем персональных данных Управления;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
утверждения перечня должностных лиц Управления, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
утверждения правил обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
утверждения правил рассмотрения запросов субъектов персональных данных или их представителей;
утверждение правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
утверждения порядка доступа в помещения, в которых ведется обработка (хранение) персональных данных;
ознакомление сотрудников, допущенных к обработке персональных данных и ответственных должностных лиц с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных), локальными актами Управления по вопросам обработки и защиты персональных данных;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
организационные мероприятия, изложенные в пункте 5-6 настоящего положения.
5. Организация и обеспечение безопасности персональных данных, при обработке без использования средств автоматизации
5.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - «материальные носители»), в специальных разделах или на полях форм (бланков).
5.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.3. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.4. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.5. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
5.6. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации включают:
осуществление обработки персональных данных таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
хранение материальных носителей с персональными данными, осуществляется с соблюдением условия, обеспечивающих сохранность персональных данных и исключающие несанкционированный к ним доступ.
6. Организация и проведение работ по обеспечению безопасности персональных данных в информационных системах Министерства
6.1. Обработка персональных данных в информационных системах осуществляется после завершения работ по созданию системы защиты персональных данных в информационных системах.
6.2. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
6.3. Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах Упрвления осуществляется в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
6.4. Реализацию требований по обеспечению защиты информационных систем, в которых обрабатываются персональные данные, осуществляет отдел информатизации и информационной безопасности совместно со структурными подразделениями Управления, эксплуатирующими эти системы.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
7. Права субъекта персональных данных
7.1. Субъект персональных данных имеет право:
получать информацию, касающеюся обработки персональных данных, за исключением случаев установленных законодательством Российской Федерации;
требовать от Управления уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
обжаловать действия или бездействие Управления при обработке и защите его персональных данных в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
7.2. Субъект персональных данных, персональные данные которого обрабатываются в Управлении в связи с реализацией служебных и трудовых отношений, имеет право на:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
полную информацию о своих персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
определение своих представителей для защиты своих персональных данных;
доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового Кодекса, Федерального закона «О персональных данных». При отказе Министерства исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме о своем несогласии с соответствующим обоснованием такого несогласия;
требование об извещении Управления или уполномоченного им лица всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
обжалование в суд любых неправомерных действий или бездействия Управления или уполномоченного им лица при обработке и защите его персональных данных.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
7.3. Субъекту персональных данных не могут быть предоставлены сведения, которые могут нарушить конституционные права и свободы других лиц, а также в иных случаях, предусмотренных законодательством.
8. Права и обязанности Министерства в области защиты персональных данных
8.1. Управление имеет право:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
на получение достоверных персональных данных от субъекта персональных данных в случаях и порядке, установленных законодательством и настоящим Положением;
на привлечение к дисциплинарной и материальной ответственности должностных лиц, виновных в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных в порядке, установленном Трудовым Кодексом и иными федеральными законами.
8.2. Управление обязано:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
принимать меры по защите персональных данных в объеме и порядке, предусмотренных законодательством и настоящим Положением;
получать и обрабатывать персональные данные в установленном законом и настоящим Положением порядке;
ознакомить всех заинтересованных лиц под роспись с настоящим Положением и любыми вносимыми в него изменениями.
8.3. Должностные лица Управления, осуществляющие функции по обработке персональных данных обязаны:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
проходить обучение и проверку знаний в области защиты персональных данных;
соблюдать настоящее Положение;
сохранять конфиденциальность полученных персональных данных, в том числе после прекращения трудовых (служебных) отношений с Управлением;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
при прекращении трудового договора (служебного контракта) передать уполномоченному лицу все материальные носители персональных данных.
9. Ответственность
9.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут ответственность в соответствии с законодательством Российской Федерации.
МИНИСТЕРСТВО ЮСТИЦИИ АЛТАЙСКОГО КРАЯ
ПРИКАЗ
от 14 марта 2018 года № 104
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОРГАНИЗАЦИИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлениями Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» приказываю:
1. Утвердить прилагаемое Положение об организации обработки и обеспечения безопасности персональных данных в управлении юстиции Алтайского края.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
2. Признать утратившими силу:
приказ управления Алтайского края по обеспечению деятельности мировых судей от 28.07.2014 № 135-П «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных управления Алтайского края по обеспечению деятельности мировых судей»;
приказ управления записи актов гражданского состояния Алтайского края от 30.01.2015 № 4 «Об организации работы с персональными данными».
3. Настоящий приказ подлежит официальному опубликованию на «Официальном интернет-портале правовой информации» (www.pravo.gov.ru)».
Министр
К.Е. Портнягин
Утверждено
Приказом
Министерства юстиции
Алтайского края
от 14.03.2018 № 104
Положение
об организации обработки и обеспечения безопасности персональных данных в управлении юстиции Алтайского края
(наименование в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1. Общие положения
1.1. Положение об организации обработки и обеспечения безопасности персональных данных в управлении юстиции Алтайского края (далее - «Положение») устанавливает требования к обработке и защите персональных данных, определяет права, обязанности и ответственность сотрудников управления юстиции Алтайского края (далее - «Управление») при работе с персональными данными, права субъектов персональных данных, персональные данные которых обрабатываются в Управлении, меры, направленные на защиту персональных данных с использованием средств автоматизации и без использования таких средств, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Управлении.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), от 15.11.1997 № 143-ФЗ «Об актах гражданского состояния», Указом Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» (далее - «Указ № 609»), постановлениями Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», распоряжением Правительства Российской Федерации от 26.05.2005 № 667-р «Об утверждении формы анкеты, подлежащей представлению в государственный орган гражданином Российской Федерации, изъявившим желание участвовать в конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. Целью настоящего положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Действие настоящего положения не распространяется на отношения, возникающие при организации работы с персональными данными, отнесенными к сведениям, составляющим государственную тайну.
1.5. Управление является оператором персональных данных, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1.6. В Управлении обрабатываются персональные данные, доступ к которым ограничен и общедоступные персональных данные.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1.7. Требования настоящего Положения являются обязательными для исполнения всеми лицами, получившими доступ к персональным данным, и доводятся под роспись всем сотрудникам Управления.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1.8. Допуск сотрудников Управления к обработке персональных данных (далее - «сотрудники, допущенные к обработке персональных данных») осуществляется в соответствии с должностными регламентами (должностными инструкциями).
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1.9. Перечень лиц, осуществляющих обработку персональных данных либо имеющих доступ к персональным данным (далее - «ответственные должностные лица»), утверждаются приказом Управления.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
1.10. Обработка персональных данных в Управлении осуществляется с целью реализации служебных и трудовых отношений, а также в связи с осуществлением полномочий в сфере государственной регистрации актов гражданского состояния.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
2. Категории и перечень персональных данных
2.1. В процессе осуществления деятельности в Управлении возможна обработка любых категорий персональных данных, за исключением специальных категорий.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
2.2. Перечень персональных данных, обрабатываемых в Управлении в связи с реализацией служебных и трудовых отношений, а также в связи с осуществлением полномочий в сфере государственной регистрации актов гражданского состояния, утверждается приказом Управления.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
2.3. Обработка персональных данных осуществляется в порядке, установленном законодательством Российской Федерации в области персональных данных.
3. Общий порядок обработки персональных данных
3.1. В Управлении обработка персональных данных включает в себя следующие действия: получение (сбор), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
3.2. Получение персональных данных осуществляется в соответствии с нормативными правовыми актами Российской Федерации в сфере государственной регистрации актов гражданского состояния, государственной гражданской службы и трудовых отношений.
3.3. Обработка и использование персональных данных осуществляется в целях обеспечения соблюдения законодательства Российской Федерации.
3.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.5. Обработка персональных данных с целью реализации служебных и трудовых отношений осуществляется с согласия субъекта персональных данных на обработку персональных данных. Согласие может быть в любое время отозвано по заявлению субъекта персональных данных. Последствия отказа о предоставлении своих персональных данных должны быть юридически разъяснены субъекту персональных данных.
3.5.1. Письменное согласие на обработку персональных данных включает в себя:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
подпись субъекта персональных данных,
3.5.2. Обработка персональных данных без согласия субъекта персональных данных может осуществляться в случаях, предусмотренных законодательством.
3.6. Обработка персональных данных при государственной регистрации актов гражданского состояния осуществляется без согласия в соответствии с пунктом 2 части 1 статьи 6 Федерального закона «О персональных данных».
3.7. Сотрудники допущенные к обработке персональных данных и/или ответственные должностные лица имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных функций в соответствии с должностными обязанностями указанных лиц.
3.7.1. Руководители структурных подразделений имеют доступ ко всей информации, содержащей персональные данные, обрабатываемой сотрудниками соответствующего структурного подразделения.
3.7.2. Обработка персональных данных в структурных подразделениях Управления и комиссиях созданных в Управлении ведется в объеме определяемом положениями о них.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
3.7.3. Обработка персональных данных членами комиссий может производиться в помещениях, в которых проводятся заседания данных комиссий. По окончании заседания комиссии, документы, содержащие персональные данные возвращаются на места их хранения.
3.8. Обработка персональных данных в Управлении осуществляется:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
без использования средств автоматизации - на бумажных носителях информации, содержащих персональные данные;
с использованием средств автоматизации - автоматизированная обработка информации содержащейся в информационных системах персональных данных Управления.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
3.9. Получение персональных данных.
3.9.1. Управление при осуществлении своей деятельности получает персональные данные в порядке, предусмотренном законодательством и настоящим Положением:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
объем и содержание получаемых сведений должны соответствовать Конституции Российской Федерации и федеральным законам;
персональные данные могут быть получены только у самого субъекта персональных данных;
получить персональные данные у третьего лица можно только с письменного согласия субъекта персональных данных, если невозможно получить информацию у него самого в порядке, предусмотренном п. 3.9.2 настоящего Положения;
запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы за исключением случаев, предусмотренных частью 2 статьи 16 Федерального закона «О персональных данных».
3.9.2. Для получения персональных данных от третьих лиц субъект персональных должен быть заранее об этом уведомлен и от него должно быть получено письменное согласие.
3.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.11. Передача персональных данных
3.11.1. Запрещается передача персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством.
4. Меры по обеспечению безопасности персональных данных
4.1. Меры по обеспечению безопасности персональных данных в Министерстве включают:
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.2. Организационные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных включают:
назначение лиц, ответственных за организацию обработки персональных данных и за обеспечение безопасности персональных данных в Управлении;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
утверждения перечня должностей установленных в Управлении, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
утверждения перечня информационных систем персональных данных Управления;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
утверждения перечня должностных лиц Управления, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
утверждения правил обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
утверждения правил рассмотрения запросов субъектов персональных данных или их представителей;
утверждение правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
утверждения порядка доступа в помещения, в которых ведется обработка (хранение) персональных данных;
ознакомление сотрудников, допущенных к обработке персональных данных и ответственных должностных лиц с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных), локальными актами Управления по вопросам обработки и защиты персональных данных;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
организационные мероприятия, изложенные в пункте 5-6 настоящего положения.
5. Организация и обеспечение безопасности персональных данных, при обработке без использования средств автоматизации
5.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - «материальные носители»), в специальных разделах или на полях форм (бланков).
5.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.3. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.4. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.5. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
5.6. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации включают:
осуществление обработки персональных данных таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
хранение материальных носителей с персональными данными, осуществляется с соблюдением условия, обеспечивающих сохранность персональных данных и исключающие несанкционированный к ним доступ.
6. Организация и проведение работ по обеспечению безопасности персональных данных в информационных системах Министерства
6.1. Обработка персональных данных в информационных системах осуществляется после завершения работ по созданию системы защиты персональных данных в информационных системах.
6.2. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
6.3. Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах Упрвления осуществляется в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
6.4. Реализацию требований по обеспечению защиты информационных систем, в которых обрабатываются персональные данные, осуществляет отдел информатизации и информационной безопасности совместно со структурными подразделениями Управления, эксплуатирующими эти системы.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
7. Права субъекта персональных данных
7.1. Субъект персональных данных имеет право:
получать информацию, касающеюся обработки персональных данных, за исключением случаев установленных законодательством Российской Федерации;
требовать от Управления уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
обжаловать действия или бездействие Управления при обработке и защите его персональных данных в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
7.2. Субъект персональных данных, персональные данные которого обрабатываются в Управлении в связи с реализацией служебных и трудовых отношений, имеет право на:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
полную информацию о своих персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
определение своих представителей для защиты своих персональных данных;
доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового Кодекса, Федерального закона «О персональных данных». При отказе Министерства исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме о своем несогласии с соответствующим обоснованием такого несогласия;
требование об извещении Управления или уполномоченного им лица всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
обжалование в суд любых неправомерных действий или бездействия Управления или уполномоченного им лица при обработке и защите его персональных данных.
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
7.3. Субъекту персональных данных не могут быть предоставлены сведения, которые могут нарушить конституционные права и свободы других лиц, а также в иных случаях, предусмотренных законодательством.
8. Права и обязанности Министерства в области защиты персональных данных
8.1. Управление имеет право:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
на получение достоверных персональных данных от субъекта персональных данных в случаях и порядке, установленных законодательством и настоящим Положением;
на привлечение к дисциплинарной и материальной ответственности должностных лиц, виновных в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных в порядке, установленном Трудовым Кодексом и иными федеральными законами.
8.2. Управление обязано:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
принимать меры по защите персональных данных в объеме и порядке, предусмотренных законодательством и настоящим Положением;
получать и обрабатывать персональные данные в установленном законом и настоящим Положением порядке;
ознакомить всех заинтересованных лиц под роспись с настоящим Положением и любыми вносимыми в него изменениями.
8.3. Должностные лица Управления, осуществляющие функции по обработке персональных данных обязаны:
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
проходить обучение и проверку знаний в области защиты персональных данных;
соблюдать настоящее Положение;
сохранять конфиденциальность полученных персональных данных, в том числе после прекращения трудовых (служебных) отношений с Управлением;
(в редакции приказа управления юстиции Алтайского края от 18.04.2019 № 200)
при прекращении трудового договора (служебного контракта) передать уполномоченному лицу все материальные носители персональных данных.
9. Ответственность
9.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут ответственность в соответствии с законодательством Российской Федерации.
Дополнительные сведения
| Государственные публикаторы: | "Официальный интернет-портал правовой информации" (www.pravo.gov.ru) № 2201201803140004 от 14.03.2018 |
| Рубрики правового классификатора: | 010.140.040 Учет и систематизация нормативных правовых актов, 020.020.020 Государственная служба субъектов Российской Федерации, 120.030.060 Информация о гражданах (персональные данные) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
