Основная информация
| Дата опубликования: | 23 марта 2020г. |
| Номер документа: | RU19000202000196 |
| Текущая редакция: | 2 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Москва |
| Принявший орган: | Управление по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
ГУБЕРНАТОР КАМЧАТСКОГО КРАЯ
УПРАВЛЕНИЕ ПО ГРАЖДАНСКОЙ ОБОРОНЕ, ЧРЕЗВЫЧАЙНЫМ СИТУАЦИЯМ И ПОЖАРНОЙ БЕЗОПАСНОСТИ РЕСПУБЛИКИ ХАКАСИЯ
ПРИКАЗ
от 23.03.2020 № 60
ОБ ОРГАНИЗАЦИИ РАБОТЫ ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
(в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Для организации защиты информации, обрабатываемой в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее – Управление) и с целью выполнения требований Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федеральных законов от 27.07.2006 № 152-ФЗ «О персональных данных», от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с последующими изменениями), Указа Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственных гражданских служащих Российской Федерации и ведении его личного дела» (с последующими изменениями), постановлений Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (с последующими изменениями), приказов Федеральной службы по техническому и экспортному контролю от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (с последующими изменениями), приказа ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», приказа Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» приказываю:
1. Ввести в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Управление) режим защиты персональных данных при их обработке в информационных системах персональных данных Управления в соответствии с требованиями действующего законодательства Российской Федерации.
2. Утвердить и ввести в действие:
2.1. Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах Управления (приложение № 1).
2.2. Правила обработки персональных данных в Управлении (приложение № 2).
2.3. Порядок доступа государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Республики Хакасия, в помещения, в которых ведется обработка персональных данных (приложение № 3).
2.4. Перечень должностей государственных гражданских служащих Управления, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение № 4).
2.5. Перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей (приложение № 5).
2.6. Перечень лиц, доступ которых в помещения Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия, где ведется обработка персональных данных необходим для выполнения ими служебных (трудовых) обязанностей» (приложение № 6).
2.7. Перечень мест хранения материальных носителей персональных данных (приложение № 7).
2.8. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Управления (приложение № 8).
2.9. Правила рассмотрения запросов субъектов персональных данных или их представителей Управлением (приложение № 9).
2.10. Правила работы с обезличенными данными в Управлении (приложение № 10).
2.11. Перечень персональных данных в информационных системах Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия и подлежащих защите (приложение № 11).
2.12. Перечень общедоступных персональных данных (приложение № 12).
2.13. Перечень Защищаемых данных в информационных системах Управления и подлежащих защите (приложение № 13).
2.14. Правила ведения журналов в части защиты информации (приложение № 14).
2.15. Список помещений, выделенных для установки СКЗИ и хранения ключевых документов к ним (приложение № 15).
2.16. Список должностных лиц, допущенных к работе с СКЗИ (приложение № 16).
2.17. Типовую форму обязательства государственного гражданского служащего (работника), непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением служебных обязанностей (приложение № 17).
2.18. Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (приложение № 18).
2.19. Типовую форму согласия на обработку персональных данных (приложение № 19).
2.20. Типовую форму согласия на получение персональных данных от третьих лиц (приложение № 20).
2.21. Заявление субъекта об отзыве согласия (приложение № 21).
2.22.Согласие субъекта персональных данных считать сведения общедоступными (приложение № 22).
3. Определить хранилище _металлический сейф № 1__(инв № ВА 0001337), расположенное на первом этаже по адресу г.Абакан ул.Щетинкина д.13 пом.1Н для размещения эксплуатации и хранения средств криптографической защиты.
4. Разрешить доступ к данному хранилищу следующим сотрудникам:
начальнику Управления Старкову Николаю Ивановичу;
советнику отдела оперативного планирования и управления Турлевскому Игорю Ивановичу;
ведущему советнику отделения по кадровой работе и профилактике коррупционных правонарушений Федосовой Ларисе Леонидовне;
советнику отделения по кадровой работе и профилактике коррупционных правонарушений Качур Наталье Ивановне.
(пункт 4 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
5. Разрешить доступ в помещения, в которых обрабатываются защищаемые данные, государственным гражданским служащим и работникам, замещающих должности, не являющиеся должностями государственной гражданской службы Республики Хакасия в соответствии с «Перечнем лиц, доступ которых в помещения Управления, где ведется обработка персональных данных необходим для выполнения ими служебных (трудовых) обязанностей»
5.1. Должностные лица, допущенные к обработке защищаемых данных, должны обеспечивать:
конфиденциальность защищаемых данных в соответствии с требованиями документа «Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах управления и действующим законодательством Российской Федерации;
выполнение требований документа «Инструкция пользователя информационных систем Управления», и «Порядок доступа государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Республики Хакасия в помещения, в которых ведется обработка персональных данных».
5.2. Доступ лиц, не указанных в «Перечне лиц, доступ которых в помещения Управления, где ведется обработка персональных данных необходим для выполнения ими служебных (трудовых) обязанностей» осуществлять только в присутствии должностных лиц Управления, указанных в «Перечне лиц, доступ которых в помещения Управления, где ведется обработка персональных данных необходим для выполнения ими служебных (трудовых) обязанностей».
5.3. Считать границей контролируемой зоны ограждающие конструкции помещений, в которых располагаются компоненты информационных систем Управления в соответствии с приложенной схемой.
6. Ведущему советнику отделения по правовому обеспечению и кадровой работе Федосовой Л.Л. ознакомить под роспись государственных гражданских служащих и работников Управления с настоящим приказом.
7. Признать утратившими силу (отменить):
приказ Управления от 08.12.2017 № 122 «Об организации работы по обработке и защите персональных данных» («Хакасия», 2015, № 15);
приказ Управления от 09.02.2018 № 22 «О внесении изменений в приказ Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 08.12.2017 № 122 «Об организации работы по обработке и защите персональных данных» («Хакасия», 2015, № 49);
приказ Управления от 22.08.2018 № 78 «О внесении изменений в приказ Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 08.12.2017 № 122 «Об организации работы по обработке и защите персональных данных» («Хакасия», 2015, № 180);
приказ Управления от 03.06.2019 № 77 «О внесении изменений в приказ Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 08.12.2017 № 122 «Об организации работы по обработке и защите персональных данных» («Хакасия», 2015, № 130).
8. Контроль за исполнением настоящего приказа оставляю за собой.
Начальник Управления
Н. Старков
Приложение № 1
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПОЛОЖЕНИЕ
по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах Управления
Общие положения
Настоящее Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах Управления (далее – Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 .07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Цель разработки настоящего Положения – установление порядка организации и проведения работ по обеспечению безопасности персональных данных (далее – ПДн) в информационных системах (далее – ИС) Управления на протяжении всего жизненного цикла ИС.
Термины и определения
В настоящем Положении используются следующие термины и их определения:
Информационная система – система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы, которые обеспечивают и распространяют информацию.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания, если иное не предусмотрено федеральным законом.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
Порядок организации и проведения работ по обеспечению безопасности персональных данных
Под организацией обеспечения безопасности ПДн при их обработке в ИС понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн, реализуемых в рамках создаваемой системы защиты персональных данных (далее – СЗПДн).
СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн, уровня защищенности ПДн, который необходимо обеспечить, и информационных технологий, используемых в информационных системах.
Безопасность ПДн при их обработке в ИС обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность ПДн при их обработке в информационной системе.
Выбор средств защиты информации для СЗПДн осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации (далее – ФСБ России) и Федеральной службой по техническому и экспортному контролю (далее – ФСТЭК России) во исполнение Федерального закона «О персональных данных».
Структура, состав и основные функции СЗПДн определяются исходя из уровня защищенности ПДн при их обработке в ИС.
СЗПДн создается в три этапа:
Этап 1. Предпроектное обследование ИС и разработка технического задания на создание СЗПДн.
Этап 2. Проектирование СЗПДн, закупка, установка, настройка необходимых средств защиты информации.
Этап 3. Ввод ИС с СЗПДн в эксплуатацию.
Этап 1. Проведение предпроектного обследования и разработка технического задания на создание СЗПДн.
3.7.1. Назначение ответственного за организацию обработки ПДн Управления.
3.7.2. Создание комиссии по определению уровня защищенности ПДн при их обработке в ИС Управления.
3.7.3. Определение целей обработки ПДн Управления.
3.7.4. Определение перечня ИС Управления и состава ПДн, обрабатываемых в ИС.
3.7.5. Определение перечня обрабатываемых Управлением ПДн.
3.7.6. Определение сроков обработки и хранения ПДн, исходя из требования, что ПДн не должны храниться дольше, чем этого требуют цели обработки этих ПДн, по достижению которых ПДн подлежат уничтожению.
3.7.7. Определение перечня используемых в ИС (предлагаемых к использованию в ИС) общесистемных и прикладных программных средств.
3.7.8. Определение режимов обработки ПДн в ИС в целом и в отдельных компонентах.
3.7.9. Назначение ответственного за обеспечение безопасности ПДн в ИС (далее – ответственный) для разработки и осуществления технических мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИС. Для каждой ИС может быть назначен отдельный ответственный.
3.7.10. Назначение ответственного пользователя криптосредств, обеспечивающего функционирование и безопасность криптосредств, предназначенных для обеспечения безопасности ПДн. Утверждение перечня лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности ПДн в ИС (пользователей криптосредств).
3.7.11. Определение перечня помещений, в которых размещены ИС и материальные носители ПДн.
3.7.12. Определение конфигурации и топологии ИС в целом и их отдельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения.
3.7.13. Определение технических средств и систем, используемых в ИС, включая условия их расположения.
3.7.14. Формирование технических паспортов ИС.
3.7.15. Разработка организационно-распорядительных документов (далее – ОРД), регламентирующих процесс обработки и защиты ПДн:
Политика в отношении обработки персональных данных;
Инструкции (ответственного за организацию обработки ПДн, ответственного за обеспечение безопасности ПДн в ИС, пользователя ИС, ответственного пользователя криптосредств);
Раздел должностных инструкций гражданских служащих и работников Управления в части обеспечения безопасности ПДн при их обработке, включая установление персональной ответственности за нарушения правил обработки ПДн.
3.7.16. Получение (при необходимости) согласия на обработку ПДн субъектом ПДн, подписание обязательства о соблюдении конфиденциальности ПДн гражданским служащим и работником Управления.
3.7.17. Утверждение форм уведомлений субъектов ПДн и форм журналов, необходимых в целях обеспечения безопасности ПДн.
3.7.18. Определение уровня защищенности ПДн при их обработке в ИС в соответствии с «Требованиями к защите ПДн при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства Российской Федерации от 01.11.2012 № 1119 (подготовка и утверждение акта определения уровня защищенности ПДн при их обработке в ИС).
3.7.19. Определение типа угроз безопасности ПДн, актуальных для информационной системы, с учетом оценки возможного вреда в соответствии с нормативными правовыми актами, принятыми во исполнение Федерального закона «О персональных данных». Определение угроз безопасности ПДн в конкретных условиях функционирования ИС (разработка моделей угроз безопасности ПДн при их обработке в ИС).
3.7.20. Формирование технического задания на разработку СЗПДн по результатам предпроектного обследования на основе нормативно-методических документов ФСТЭК России и ФСБ России с учетом установленного уровня защищенности ПДн при их обработке в ИС.
Техническое задание на разработку СЗПДн должно содержать:
обоснование разработки СЗПДн;
исходные данные создаваемой (модернизируемой) ИС в техническом, программном, информационном и организационном аспектах;
уровень защищенности ПДн при их обработке в ИС;
ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн, и приниматься в эксплуатацию ИС;
конкретизацию мероприятий и требований к СЗПДн;
состав и содержание работ по этапам разработки и внедрения СЗПДн
перечень предполагаемых к использованию сертифицированных средств защиты информации.
Этап 2. Проектирование СЗПДн, закупка, установка, настройка и опытная эксплуатация необходимых средств защиты информации.
3.8.1. Создание СЗПДн является необходимым условием обеспечения безопасности ПДн, в том случае, если существующие организационные и технические меры обеспечения безопасности не соответствуют требованиям к обеспечению безопасности ПДн для соответствующего уровня защищенности ПДн при их обработке в ИС и/или не нейтрализуют всех угроз безопасности ПДн для данной ИС.
3.8.2. Технические меры защиты ПДн предполагают использование программно-аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов Управления. Применение технических мер должно быть регламентировано нормативным актом Управления.
3.8.3. Средства защиты информации, применяемые в ИС, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.
3.8.4. На стадии проектирования и создания СЗПДн для ИС Управления проводятся следующие мероприятия:
разработка технического проекта СЗПДн;
приобретение (при необходимости), установка и настройка серийно выпускаемых технических средств обработки, передачи и хранения информации;
разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
приобретение, установка и настройка сертифицированных технических, программных и программно-технических средств защиты информации, в том числе (при необходимости) средств криптографической защиты информации;
реализация разрешительной системы доступа пользователей ИС к обрабатываемой в ИС информации;
подготовка эксплуатационной документации на используемые средства защиты информации;
корректировка (дополнение) организационно-распорядительной документации в части защиты информации.
Этап 3. Ввод ИС с СЗПДн в промышленную эксплуатацию.
3.9.1. На стадии ввода в ИС (СЗПДн) осуществляются:
опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИС (при необходимости);
приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации (при необходимости);
контроль выполнения требований (возможно проведение данного контроля в виде аттестации по требованиям безопасности ПДн).
3.9.2. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
Проведение работ по обеспечению безопасности персональных данных
Работы по обеспечению безопасности ПДн проводятся в соответствии с Планом мероприятий по защите персональных данных (Приложение № 1). Внутренние проверки режима защиты ПДн Управления проводятся в соответствии с Планом внутренних проверок режима защиты персональных данных (Приложение № 2).
Контроль за проведением работ по обеспечению безопасности ПДн осуществляет ответственный за организацию обработки ПДн в виде методического руководства, участия в разработке требований по защите ПДн, организации работ по выявлению возможных каналов утечки информации, согласования выбора средств вычислительной техники и связи, технических и программных средств защиты, участия в оценке соответствия ИС Управления требованиям безопасности ПДн.
При необходимости к проведению работ по обеспечению безопасности ПДн могут привлекаться специализированные организации, имеющие лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.
Решение вопросов обеспечения безопасности персональных данных в динамике изменения обстановки и контроля эффективности защиты
Модернизация СЗПДн для функционирующих ИС Управления должна осуществляться в случае:
изменения состава или структуры ИС или технических особенностей ее построения (изменения состава или структуры программного обеспечения, технических средств обработки ПДн, топологии ИС);
изменения состава угроз безопасности ПДн в ИС;
изменения уровня защищенности ПДн при их обработке в ИС;
прочих случаях, по решению оператора.
В целях определения необходимости доработки (модернизации) СЗПДн не реже одного раза в год ответственным за организацию обработки ПДн должна проводиться проверка состава и структуры ИС, состава угроз безопасности ПДн в ИС и уровня защищенности ПДн при их обработке в ИС, соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией. Результаты проверки оформляются актом проверки и утверждаются начальником Управления.
Анализ инцидентов безопасности ПДн и составление заключений в обязательном порядке должно проводиться в случае выявления следующих фактов:
несоблюдение условий хранения носителей ПДн;
использование средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн;
нарушение заданного уровня безопасности ПДн (конфиденциальность/ целостность/доступность).
Приложение № 1
к Положению по организации
и проведению работ по обеспечению
безопасности персональных данных
при их обработке в информационных
системах Управления по ГО, ЧС и ПБ
Республики Хакасия
ПЛАН МЕРОПРИЯТИЙ
по защите персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия
№ п\п
Наименование мероприятия
Срок выполнения
Примечание
1.
Документальное регламентирование работы с ПДн
При необходимости
Разработка организационно-распорядительных документов по защите ПДн, либо внесение изменений в существующие
2.
Получение согласий субъектов ПДн (физических лиц) на обработку ПДн в случаях, когда этого требует законодательство
Постоянно
В случаях, предусмотренных Федеральным законом «О персональных данных», обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Форма согласия приведена в Приказе «Об утверждении форм документов, необходимых в целях выполнения требований законодательства в области персональных данных». Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью
3.
Пересмотр договора с третьими лицами на поручение обработки ПДн
При необходимости
В случае поручения обработки ПДн субъектов ПДн третьим лицам (например, кредитно-финансовым учреждениям) в договор включается пункт о соблюдении конфиденциальности при обработке ПДн, а также учитываются требования ч.3 ст.6 Федерального закона «О персональных данных»
4.
Ограничение доступа сотрудников к ПДн
При необходимости (при создании ИС)
В случае создания ИС, а также приведения имеющихся ИС в соответствие с требованиями закона необходимо разграничить доступ сотрудников Оператора к ПДн
5.
Взаимодействие с субъектами ПДн
Постоянно
Работа с обращениями субъектов ПДн, ведение журналов учета передачи персональных данных, обращений субъектов ПДн, уведомление субъектов ПДн об уничтожении, изменении, прекращении обработки, устранении нарушений, допущенных при обработке ПДн, получении ПДн от третьих лиц
6.
Ведение журналов учета отчуждаемых электронных носителей персональных данных, средств защиты информации
Постоянно
7.
Повышение квалификации сотрудников в области защиты ПДн
Постоянно
Повышение квалификации сотрудников, ответственных за выполнение работ – не менее раза в три года, повышение осведомленности сотрудников – постоянно (данное обучение проводит ответственный за обеспечение безопасности ПДн в ИС)
8.
Инвентаризация информационных ресурсов
Раз в полгода
Проводится с целью выявления в информационных ресурсах присутствия ПДн
9.
Установка сроков обработки ПДн и процедуры их уничтожения по окончании срока обработки
При необходимости
Для ПДн Оператором устанавливаются сроки обработки ПДн, которые документально подтверждаются в нормативных документах Оператора. При пересмотре сроков необходимые изменения вносятся в соответствующие документы
10.
Уничтожение электронных (бумажных) носителей информации при достижении целей обработки ПДн
При необходимости
Уничтожение электронных (бумажных) носителей информации при достижении целей обработки ПДн производится с оформлением Акта на списание и уничтожение электронных (бумажных) носителей информации. Форма соответствующего акта приведена в Приказе «Об утверждении форм документов, необходимых в целях выполнения требований законодательства в области персональных данных»
11.
Определение уровня защищенности ПДн при их обработке в ИС
При необходимости
Определение уровня защищенности ПДн при их обработке в ИС осуществляется при создании ИС, при изменении состава ПДн, объема обрабатываемых ПДн, субъектов ПДн
12.
Выявление угроз безопасности и разработка моделей угроз и нарушителя
При необходимости
Разрабатывается при создании системы защиты ИС
13.
Аттестация (сертификация) СЗПДн или декларирование соответствия по требованиям безопасности ПДн
При необходимости
Проводится совместно с лицензиатами ФСТЭК
14.
Эксплуатация ИС и контроль безопасности ПДн
Постоянно
15.
Понижение требований по защите ПДн путем сегментирования ИС, отключения от сетей общего пользования, обеспечения обмена между ИС с помощью сменных носителей, создания автономных ИС на выделенных АРМ и прочих доступных мер
При необходимости
В случае создания ИС, а также приведения имеющихся ИС в соответствии с требованиями закона
Приложение № 2
к Положению по организации
и проведению работ по обеспечению
безопасности персональных данных
при их обработке в информационных
системах Управления по ГО, ЧС и ПБ
Республики Хакасия
ПЛАН
внутренних проверок режима защиты персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия
№
Мероприятие
Периодичность
Дата, подпись исполнителя
1.
Контроль соблюдения правил обработки ПДн
Ежемесячно
2.
Проведение внутренних проверок на предмет выявления изменений в правилах обработки и защиты ПДн
Ежегодно
3.
Контроль соблюдения режима парольной защиты
Ежемесячно
4.
Контроль выполнения антивирусной защиты
Еженедельно
5.
Контроль соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена
Еженедельно
6.
Контроль за обновлениями программного обеспечения и единообразия применяемого ПОна всех элементах ИС
Еженедельно
7.
Контроль за обеспечением резервного копирования
Ежемесячно
8.
Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а также предсказание появления новых, еще неизвестных, угроз
Ежегодно
9.
Поддержание в актуальном состоянии нормативно-организационных документов
Ежеквартально
10.
Контроль за разработкой и внесением изменений в программное обеспечение собственной разработки или штатное ПО, специально дорабатываемое собственными разработчиками или сторонними организациями (при наличии)
Ежемесячно
11.
Тестирование всех функций СЗИ НСД с помощью специальных программных средств
Ежегодно
Приложение № 2
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПРАВИЛА
обработки персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациями пожарной безопасности Республики Хакасия
1. Общие положения
1.1. Настоящие Правила обработки персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Правила) устанавливают единый порядок обработки персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Управление).
1.2. Обработка персональных данных в Управлении осуществляется в соответствии с Трудовым кодексом Российской Федерации, Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных», от 27.05.2003 № «О системе государственной службы Российской Федерации», от 27.07.2004 № «О государственной гражданской службе Российской Федерации», от 25.12.2008 № «О противодействии коррупции», от 02.05.2006 № «О порядке рассмотрения обращений граждан Российской Федерации», Указами Президента Российской Федерации от 01.02.2005 № 112 «О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации», от 30.05.2005 № «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела», Постановлениями Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 21.03.2012 № «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», распоряжением Правительства Российской Федерации от 26.05.2005 № 667-р «Об утверждении формы анкеты, подлежащей представлению в государственный орган гражданином Российской Федерации, изъявившим желание участвовать в конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации».
1.3. Обработка персональных данных Управлением осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.
1.4. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ).
1.5. Целью настоящих Правил является обеспечение защиты персональных данных государственных гражданских служащих, граждан, претендующих на замещение должностей государственной гражданской службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Республики Хакасия (далее - работники), от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
1.6. Настоящие Правила устанавливают и определяют:
1) процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
2) цели обработки персональных данных;
3) условия и порядок обработки персональных данных для каждой категории субъектов, данные которых обрабатываются;
4) категории субъектов, персональные данные которых обрабатываются;
5) сроки обработки и хранения обрабатываемых персональных данных;
6) порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований.
1.7. Основные условия обработки персональных данных:
1.7.1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:
1) после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных пунктами 2 - 7, 9 - 11 части 1 статьи 6 Федерального закона № 152-ФЗ;
2) после направления уведомления об обработке персональных данных в Енисейское управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона № 152-ФЗ.
1.7.2. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации в порядке, установленном в Управлении.
2. Процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных
2.1. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации:
2.1.1. Информационные ресурсы, содержащие персональные данные, созданные, приобретенные, накопленные в Управлении, а также полученные путем иных установленных законом способов, являются собственностью Управления и не могут быть использованы иначе как в установленных законом случаях или с разрешения начальника Управления.
2.1.2. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, относятся:
назначение ответственного за организацию обработки персональных данных в Управлении;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона № 152-ФЗ;
осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами;
запрет на обработку персональных данных лицами, не допущенными к их обработке;
запрет на обработку персональных данных под диктовку.
2.1.3. Документы, определяющие политику в отношении обработки персональных данных, подлежат обязательному опубликованию на официальном портале исполнительных органов государственной власти Республики Хакасия на странице Управления в течение 10 дней после их утверждения.
2.1.4. За разглашение информации, содержащей персональные данные, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение режима защиты, обработки и порядка использования этой информации гражданский служащий и работник Управления могут быть привлечены к дисциплинарной или иной ответственности, предусмотренной действующим законодательством.
2.2. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации:
2.2.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации Управления осуществляется в соответствии с требованиями Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
2.2.2. При эксплуатации автоматизированных информационных систем необходимо соблюдать следующие требования:
к работе допускаются только лица, назначенные соответствующим приказом Управления;
на персональных электронных вычислительных машинах (далее - ПЭВМ), дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
на период обработки защищаемой информации в помещении могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации;
допуск других лиц в указанный период может осуществляться с разрешения начальника Управления или его заместителя, отвечающего за защиту информации в Управлении.
2.2.3. Начальники структурных подразделений Управления, гражданские служащие и работники Управления, осуществляющие обработку персональных данных (далее - пользователи), обязаны контролировать и выполнять предусмотренные в Управлении меры по защите информации, содержащей персональные данные.
2.2.4. Начальники структурных подразделений Управления обязаны:
участвовать в подготовке перечня персональных данных, обрабатываемых на ПЭВМ подразделения;
готовить к утверждению списки гражданских служащих и работников, которых по своим должностным обязанностям необходимо допустить к работе с персональными данными в информационной системе Управления;
контролировать целевое использование работниками ресурсов сети «Интернет»;
контролировать выполнение пользователями общих правил работы на ПЭВМ и в локальной вычислительной сети Управления (далее - ЛВС);
выборочно контролировать характер исходящей информации, направляемой пользователями по электронной почте другим адресатам, и принимать оперативные меры к соблюдению ими установленных требований по защите персональных данных;
при обнаружении нарушений установленных требований по защите персональных данных, в результате которых вскрыты факты их разглашения, прекратить работы на рабочем месте, где обнаружены нарушения, доложить начальнику Управления и поставить в известность администратора информационной безопасности в информационных системах Управления;
назначать служебные расследования по фактам разглашения информации, содержащей персональные данные, или утери документов, содержащих такую информацию, по фактам нарушений пользователями правил, установленных для работы с персональными данными в ЛВС, а также нарушений требований по защите информации;
обеспечивать условия для работы администратора информационной безопасности Управления при проверке в подразделении эффективности предусмотренных мер защиты информации;
определять порядок передачи информации, содержащей персональные данные, другим структурным подразделениям Управления, сторонним организациям и органам.
2.2.5. При приеме на работу государственный гражданский служащий, работник предупреждаются об ответственности за разглашение сведений, содержащих персональные данные, которые станут ему известными в связи с предстоящим выполнением своих служебных обязанностей.
2.2.6. Пользователь обязан:
знать правила работы в ЛВС и принятые меры по защите ресурсов ЛВС (в части, его касающейся);
при работе на своей рабочей станции (ПЭВМ) и в ЛВС выполнять только служебные задания;
перед началом работы на ПЭВМ проверить свои рабочие папки на жестком магнитном диске, съемные магнитные носители информации на отсутствие вирусов с помощью штатных средств антивирусной защиты, убедиться в исправности своей рабочей станции;
при сообщениях программ о появлении вирусов немедленно прекратить работу, доложить администратору информационной безопасности информационных систем Управления (далее - Администратор ИБ) и своему непосредственному начальнику;
при обработке информации, содержащей персональные данные, использовать только зарегистрированные в журналах учета Управления машинные носители информации;
при необходимости использования неучтенных магнитных носителей, прежде всего, провести проверку этих носителей на отсутствие вирусов;
выполнять предписания Администратора ИБ, ответственного за защиту информации в Управлении;
представлять для контроля свою рабочую станцию (ПЭВМ) Администратору ИБ;
сохранять в тайне свой индивидуальный пароль, периодически, но не реже чем один раз в полгода, изменять его и не сообщать другим лицам;
вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;
учет, размножение, обращение печатных материалов, содержащих персональные данные, проводить в соответствии с требованиями инструкции по делопроизводству и инструкции по работе с личными обращениями и запросами российских и иных граждан, в том числе юридических лиц, в Управлении;
при обнаружении различных неисправностей в работе компьютерной техники или ЛВС, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек, печатей), несоответствия номеров на аппаратных средствах сообщить Администратору ИБ и поставить в известность начальника структурного подразделения Управления.
Пользователю при работе запрещается:
играть в компьютерные игры;
приносить различные компьютерные программы и пытаться установить их на локальный диск компьютера без уведомления Администратора ИБ;
перенастраивать программное обеспечение компьютера;
самостоятельно вскрывать комплектующие рабочей станции (ПЭВМ);
запускать на своей рабочей станции (ПЭВМ) или другой рабочей станции сети любые системные или прикладные программы, кроме установленных Администратором ИБ;
изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;
оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации (при наличии), магнитные носители и распечатки, содержащие персональные данные;
допускать к подключенной в сеть рабочей станции (ПЭВМ) посторонних лиц;
производить копирование для временного хранения информации, содержащей персональные данные, на неучтенные носители;
работать на рабочей станции (ПЭВМ) в сети с информацией, содержащей персональные данные, при обнаружении неисправностей станции (ПЭВМ), влияющих на защиту информации;
умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к утечке, блокированию, искажению или утере информации, содержащей персональные данные;
отсылать по электронной почте информацию для решения личных проблем, а также информацию по просьбе третьих лиц без согласования с начальником структурного подразделения Управления;
запрашивать и получать из сети «Интернет» материалы развлекательного характера (игры, клипы и другое);
запрашивать и получать из сети «Интернет» программные продукты, кроме случаев, связанных со служебной необходимостью. При этом необходимо согласование с начальником структурного подразделения Управления и обеспечение процесса Администратором ИБ.
2.2.7. Гражданские служащие и работники не могут использовать в личных целях персональные данные, ставшие известными им вследствие выполнения служебных обязанностей.
2.3. Порядок обработки персональных данных без использования средств автоматизации:
2.3.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
2.3.2. При неавтоматизированной обработке персональных данных на бумажных носителях:
не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
персональные данные должны обособляться от иной информации, в частности, путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
2.3.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных (при необходимости получения письменного согласия на обработку персональных данных);
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
2.3.4. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
2.3.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
2.3.6. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
2.3.7. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
2.3.8. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
2.3.9. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
3. Цели обработки персональных данных
3.1. Целью обработки персональных данных является организация деятельности Управления для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, обучение, продвижение по службе, права на пенсионное обеспечение и медицинское страхование государственных гражданских служащих и работников.
4. Категории субъектов, персональные данные которых обрабатываются
4.1. К субъектам, персональные данные которых обрабатываются, относятся:
1) граждане, обратившиеся в Управление с жалобами, заявлениями и по другим вопросам, касающимся установленной сферы деятельности;
2) граждане, претендующие на замещение должности государственной гражданской службы и должности, не являющиеся должностями государственной гражданской службы в Управлении, родственники указанных лиц;
3) граждане, представившие сведения Управлению для участия в конкурсе на формирование кадрового резерва Управления, состоящие в кадровом резерве Управления, родственники указанных лиц;
4) граждане, замещающие (замещавшие) должности государственной гражданской службы и должности, не являющиеся должностями государственной гражданской службы в Управлении, родственники указанных лиц;
5) индивидуальные предприниматели, представители органов местного самоуправления и юридических лиц, создающие силы и средства для предупреждения и ликвидации чрезвычайных ситуаций, и иные индивидуальные предприниматели и представители юридических лиц, у которых возможно возникновение чрезвычайных ситуаций, предоставившие Управлению свои персональные данные для осуществления регионального государственного надзора в области защиты населения и территорий от чрезвычайных ситуаций (далее - региональный государственный надзор).
5. Условия и порядок обработки персональных данных государственных гражданских служащих Управления
5.1. Персональные данные гражданских служащих Управления, граждан, претендующих на замещение должностей государственной гражданской службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия государственным служащим Управления в прохождении государственной службы, формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, учета результатов исполнения гражданскими служащими Управления должностных обязанностей, обеспечения личной безопасности государственных служащих Управления, обеспечения гражданским служащим Управления установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.
5.2. В целях, указанных в пункте 5.1 настоящих Правил, обрабатываются следующие категории персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной гражданской службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления:
5.2.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения).
5.2.2. Число, месяц, год рождения.
5.2.3. Место рождения.
5.2.4. Информация о гражданстве (в том числе предыдущие гражданства, иные гражданства).
5.2.5. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи.
5.2.6. Адрес места жительства (адрес регистрации, фактического проживания).
5.2.7. Номер контактного телефона или сведения о других способах связи.
5.2.8. Реквизиты страхового свидетельства государственного пенсионного страхования.
5.2.9. Идентификационный номер налогоплательщика.
5.2.10. Реквизиты страхового медицинского полиса обязательного медицинского страхования.
5.2.11. Реквизиты свидетельства государственной регистрации актов гражданского состояния.
5.2.12. Семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших).
5.2.13. Сведения о трудовой деятельности.
5.2.14. Сведения о воинском учете и реквизиты документов воинского учета.
5.2.15. Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании).
5.2.16. Сведения об ученой степени.
5.2.17. Информация о владении иностранными языками, степень владения.
5.2.18. Медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению.
5.2.19. Фотография.
5.2.20. Сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы.
5.2.21. Информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту.
5.2.22. Сведения о пребывании за границей.
5.2.23. Информация о классном чине государственной гражданской службы Российской Федерации, квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы).
5.2.24. Информация о наличии или отсутствии судимости.
5.2.25. Информация об оформленных допусках к государственной тайне.
5.2.26. Государственные награды, иные награды и знаки отличия.
5.2.27. Сведения о профессиональной переподготовке и (или) повышении квалификации.
5.2.28. Информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания.
5.2.29. Сведения о доходах, об имуществе и обязательствах имущественного характера.
5.2.30. Номер расчетного счета.
5.2.31. Номер банковской карты.
5.2.32. Иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 5.1 настоящих Правил.
5.3. Обработка персональных данных и биометрических персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 5.1 настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона № 152-ФЗ и положениями иных федеральных законов.
5.4. Обработка специальных категорий персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 5.1 настоящих Правил, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона № 152-ФЗ и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны.
5.5. Обработка персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, осуществляется при условии получения согласия указанных лиц в следующих случаях:
1) передачи (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о государственной гражданской службе;
2) трансграничной передачи персональных данных;
3) принятия решений, порождающих юридические последствия в отношении указанных лиц или иным, образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
5.6. В случаях, предусмотренных пунктом 5.5 настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом № 152-ФЗ.
5.7. Обработка персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, осуществляется специалистом отделения по правовому обеспечению и кадровой работе Управления (далее - специалист по кадровой работе) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, осуществляется путем:
1) получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые специалисту по кадровой работе Управления);
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе кадровой работы;
5) внесения персональных данных в информационную систему Управления, используемую специалистом по кадровой работе Управления.
5.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления.
5.10. В случае возникновения необходимости получения персональных данных государственного гражданского служащего Управления у третьей стороны следует известить об этом гражданского служащего заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.
5.11. Запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего Управления персональные данные, не предусмотренные пунктом 5.2 настоящих Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
5.12. При сборе персональных данных специалист по кадровой работе Управления, осуществляющий сбор (получение) персональных данных непосредственно от гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
5.13. Передача (распространение, предоставление) и использование персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
5.14. Гражданские служащие Управления, граждане, претендующие на замещение должностей государственной гражданской службы Управления, граждане, представившие сведения для участия в кадровом резерве Управления и состоящие в кадровом резерве Управления, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения Управления, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Управлением или на основании законодательства;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных.
5.15. Право гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, на доступ к их персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона № 152-ФЗ.
5.16. Гражданские служащие Управления, граждане, претендующие на замещение должностей государственной службы Управления, граждане, представившие сведения для участия в кадровом резерве Управления и состоящие в кадровом резерве Управления, вправе требовать от Управления уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.17. Сведения о персональных данных должны быть предоставлены гражданским служащим Управления, гражданам, претендующим на замещение должностей государственной службы Управления, гражданам, представившим сведения для участия в кадровом резерве Управления и состоящим в кадровом резерве Управления, в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
5.18. Если гражданские служащие Управления, граждане, претендующие на замещение должностей государственной службы Управления, граждане, представившие сведения для участия в кадровом резерве Управления и состоящие в кадровом резерве Управления, считают, что Управление осуществляет обработку их персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает их права и свободы, они вправе обжаловать действия или бездействие Управления в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
5.19. Гражданские служащие Управления, граждане, претендующие на замещение должностей государственной службы Управления, граждане, представившие сведения для участия в кадровом резерве Управления и состоящие в кадровом резерве Управления имеют право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.20. Гражданские служащие Управления, граждане, претендующие на замещение должностей государственной службы Управления, граждане, представившие сведения для участия в кадровом резерве Управления и состоящие в кадровом резерве Управления, обязаны:
1) передавать Управлению комплекс достоверных, документированных персональных данных, состав которых установлен законодательством;
2) своевременно сообщать уполномоченным Управления лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных об изменении своих персональных данных.
5.21. В целях защиты частной жизни, личной и семейной тайны гражданские служащие Управления, граждане, претендующие на замещение должностей государственной службы Управления, граждане, представившие сведения для участия в кадровом резерве Управления и состоящие в кадровом резерве Управления, не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.
6. Условия и порядок обработки персональных данных работников, замещающих должности, не являющиеся должностями государственной гражданской службы
6.1. Персональные данные работников, замещающих должности, не являющиеся должностями государственной гражданской службы Управления (далее - работники Управления), обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия работникам Управления в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников Управления, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, обеспечения работникам Управления установленных Трудовым кодексом Российской Федерации, законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.
6.2. В целях, указанных в пункте 6.1 настоящих Правил, обрабатываются следующие категории персональных данных работников Управления:
1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
6) адрес места жительства (адрес регистрации, фактического проживания);
7) номер контактного телефона или сведения о других способах связи;
8) реквизиты страхового свидетельства государственного пенсионного страхования;
9) идентификационный номер налогоплательщика;
10) реквизиты страхового медицинского полиса обязательного медицинского страхования;
11) реквизиты свидетельства государственной регистрации актов гражданского состояния;
12) семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
13) сведения о трудовой деятельности;
14) сведения о воинском учете и реквизиты документов воинского учета;
15) сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
16) сведения об ученой степени;
17) информация о владении иностранными языками, степень владения;
18) фотография;
19) сведения о трудовой деятельности, в том числе: дата приема, перевода, перемещения на иную должность, наименование замещаемых должностей с указанием структурных подразделений, размера заработной платы, результатов аттестации на соответствие замещаемой должности, а также сведения о прежнем месте работы;
20) информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору;
21) сведения о пребывании за границей;
22) информация об оформленных допусках к государственной тайне;
23) государственные награды, иные награды и знаки отличия;
24) сведения о профессиональной переподготовке и (или) повышении квалификации;
25) информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;
26) номер расчетного счета;
27) номер банковской карты;
28) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 6.1 настоящих Правил.
6.3. Обработка персональных данных и биометрических персональных данных работников Управления осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 6.1 настоящих Правил, в соответствии с пунктом 2 части статьи 6 и частью 2 статьи 11 Федерального закона № 152-ФЗ, Трудовым кодексом Российской Федерации, положениями Федерального закона от 25.12.2008 № 273-ФЗ «О противодействии коррупции».
6.4. Обработка специальных категорий персональных данных работников Управления осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 6.1 настоящих Правил, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона № 152-ФЗ и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны.
6.5. Обработка персональных данных работников Управления осуществляется при условии получения согласия указанных лиц в следующих случаях:
1) трансграничной передачи персональных данных;
2) принятия решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
6.6. В случаях, предусмотренных пунктом 6.4 настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом № 152-ФЗ.
6.7. Обработка персональных данных работников Управления осуществляется специалистом по кадровой работе Управления и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников Управления, осуществляется путем:
1) получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые специалисту по кадровой работе Управления);
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе кадровой работы;
5) внесения персональных данных в информационную систему Управления, используемые специалистом по кадровой работе Управления;
6) сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от работников Управления.
6.9. В случае возникновения необходимости получения персональных данных работника Управления у третьей стороны, необходимо известить об этом работника заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.
6.10. Запрещается получать, обрабатывать и приобщать к личному делу работника Управления персональные данные, не предусмотренные пунктом 6.2 настоящих Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
6.11. При сборе персональных данных специалист по кадровой работе Управления, осуществляющий сбор (получение) персональных данных непосредственно от работников Управления, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
6.12. Передача (распространение, предоставление) и использование персональных данных работников Управления осуществляются лишь в случаях и в порядке, предусмотренных федеральными законами.
6.13. В целях обеспечения защиты персональных данных, хранящихся у оператора, работники Управления имеют право на:
1) полную информацию о своих персональных данных и обработке этих персональных данных;
2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
3) определение своих представителей для защиты своих персональных данных;
4) доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
5) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона. При отказе оператора исключить или исправить персональные данные работника он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
6) требование об извещении оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех производственных в них исключениях, исправлениях и дополнениях;
7) обжалование в суд любых неправомерных действий или бездействия оператора при обработке и защите его персональных данных.
6.14. Работники Управления обязаны:
1) передавать Управлению комплекс достоверных, документированных персональных данных, состав которых установлен законодательством;
2) своевременно сообщать уполномоченным Управления лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных об изменении своих персональных данных;
3) в целях защиты частной жизни, личной и семейной тайны работники Управления не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.
7. Условия и порядок обработки персональных данных граждан, обратившихся с жалобами, заявлениями и по другим вопросам, в установленных сферах деятельности
7.1. Управлением осуществляется обработка персональных данных граждан, обратившихся с жалобами, заявлениями и по другим вопросам, относящимся к компетенции Управления, в целях обеспечения своевременного и в полном объеме рассмотрения устных и письменных обращений граждан.
7.2. Персональные данные граждан, обратившихся в Управление лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.
В соответствии с законодательством Российской Федерации в Управлении подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.
7.3. В рамках рассмотрения обращений граждан подлежат обработке следующие персональные данные заявителей:
1) фамилия, имя, отчество (последнее при наличии);
2) почтовый адрес;
3) адрес электронной почты;
4) указанный в обращении контактный телефон;
5) иные персональные данные, указанные заявителем в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
7.4. Обработка персональных данных, указанных в пункте 7.1 настоящих Правил, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона № 152-ФЗ, положениями Федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
7.5. Обработка персональных данных граждан, обратившихся с заявлениями и жалобами в Управление, осуществляется структурными подразделениями Управления и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
7.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных граждан, обратившихся с заявлениями и жалобами в Управление, осуществляются путем:
1) получения оригиналов необходимых документов (заявление);
2) заверения копий документов.
7.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от граждан, обратившихся с заявлениями и жалобами в Управление.
7.8. При подготовке ответа гражданам, обратившимся с заявлениями и жалобами в Управление, запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.
7.9. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Управления, осуществляющее получение персональных данных непосредственно от граждан, обратившихся с заявлениями и жалобами в Управление, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
7.10. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) Управлением осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
7.11. При рассмотрении обращения не допускается разглашение сведений, содержащихся в обращении, а также сведений, касающихся частной жизни гражданина, без его согласия. Не является разглашением сведений, содержащихся в обращении, направление письменного обращения в Управление, в компетенцию которого входит решение поставленных в обращении вопросов.
7.12. При рассмотрении обращения Управлением, его должностным лицом гражданин имеет право:
1) представлять дополнительные документы и материалы либо обращаться с просьбой об их истребовании, в том числе в электронной форме;
2) знакомиться с документами и материалами, касающимися рассмотрения обращения, если это не затрагивает права, свободы и законные интересы других лиц и если в указанных документах и материалах не содержатся сведения, составляющие государственную или иную охраняемую федеральным законом тайну;
3) получать письменный ответ по существу поставленных в обращении вопросов, за исключением случаев, указанных в статье 11 Федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», уведомление о переадресации письменного обращения в государственный орган, орган местного самоуправления или должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов;
4) обращаться с жалобой на принятое по обращению решение или на действие (бездействие) в связи с рассмотрением обращения в административном и (или) судебном порядке в соответствии с законодательством Российской Федерации;
5) обращаться с заявлением о прекращении рассмотрения обращения.
8. Условия и порядок обработки персональных данных субъектов в связи с осуществлением регионального государственного надзора в области защиты населения и территорий от чрезвычайных ситуаций
8.1. В целях осуществления регионального государственного надзора Управлением могут обрабатываться следующие персональные данные:
1) фамилия, имя, отчество (последнее при наличии);
2) адрес электронной почты;
3) контактный телефон;
4) сведения о повышении квалификации в области защиты населения и территорий от чрезвычайных ситуаций;
5) иные персональные данные, ставшие известными в ходе осуществления регионального государственного надзора.
8.2. Обработка персональных данных, необходимых в связи с осуществлением регионального государственного надзора, указанных в пункте 8.1 настоящих Правил, осуществляется отделом государственного надзора в области защиты населения и территорий от чрезвычайных ситуаций Управления и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
8.3. Сбор, запись, систематизация, накопление, хранение и уточнение (обновление, изменение) в целях осуществления регионального государственного надзора осуществляются путем:
1) заверения копий документов;
2) внесения сведений в учетные формы (на бумажных и электронных носителях).
8.4. Сбор, запись, систематизация, накопление, хранение и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от представителей органов местного самоуправления, индивидуальных предпринимателей и юридических лиц, предоставивших Управлению свои персональные данные для осуществления регионального государственного надзора.
8.5. При осуществлении регионального государственного надзора запрещается запрашивать персональные данные, не предусмотренные законодательством Российской Федерации.
8.6. При сборе персональных данных уполномоченное должностное лицо отдела государственного надзора в области защиты населения и территорий от чрезвычайных ситуаций Управления, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, в связи с осуществлением регионального государственного надзора, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
8.7. Передача (распространение, представление) и использование персональных данных индивидуальных предпринимателей и юридических лиц осуществляются лишь в случаях и в порядке, предусмотренных федеральными законами.
9. Сроки обработки и хранения обрабатываемых персональных данных
9.1. Сроки обработки и хранения персональных данных гражданских служащих, работников, граждан, претендующих на замещение должностей гражданской службы, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, определяются в соответствии с требованиями законодательства Российской Федерации.
9.2. С учетом положений законодательства Российской Федерации устанавливаются следующие сроки обработки и хранения персональных данных:
9.2.1. Персональные данные, содержащиеся в приказах по личному составу гражданских служащих и работников Управления (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в кадровом подразделении Управления в течение двух лет с последующим формированием и передачей указанных документов в архив Управления или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
9.2.2. Персональные данные, содержащиеся в личных делах гражданских служащих и работников Управления, а также личных карточках государственных служащих и работников Управления, хранятся в кадровом подразделении Управления в течение десяти лет с последующим формированием и передачей указанных документов в архив Управления или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
9.2.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи гражданских служащих и работников Управления, подлежат хранению в течение двух лет в кадровом подразделении Управления с последующим формированием и передачей указанных документов в архив Управления или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
9.2.4. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях гражданских служащих и работников Управления, подлежат хранению в кадровом подразделении Управления в течение пяти лет с последующим уничтожением.
9.2.5. Персональные данные, содержащиеся в документах претендентов на замещение вакантной должности государственной гражданской службы в Управление, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в кадровом подразделении Управления в течение трех лет со дня завершения конкурса, после чего подлежат уничтожению.
9.2.6. Персональные данные, содержащиеся в документах претендентов на участие в конкурсе на формирование кадрового резерва и документах гражданских служащих и граждан, состоящих в кадровом резерве, хранятся в кадровом подразделении Управления в течение трех лет со дня завершения конкурса или исключения из кадрового резерва, после чего подлежат уничтожению.
9.2.7. Персональные данные граждан, обратившихся в Управление лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет, после чего уничтожаются.
9.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
9.4. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами.
9.5. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют начальники структурных подразделений Управления.
10. Порядок уничтожения обработанных персональных данных
10.1. Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
10.2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
10.3. Уничтожению подлежат утратившие практическое значение и не имеющие исторической или иной ценности носители информации, содержащие персональные данные. При уничтожении таких носителей должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
10.4. Уничтожение производится путем сожжения, расплавления, дробления, растворения, химического разложения или превращения в мягкую бесформенную массу или порошок. Допускается уничтожение документов путем измельчения в бумажную сечку. Магнитные и фотографические носители уничтожаются сожжением, дроблением, расплавлением и другими способами, исключающими возможность их восстановления.
10.5. Уничтожение обработанных персональных данных производится комиссионно, с составлением соответствующего акта. Состав комиссии назначается приказом начальника Управления. В комиссию назначаются лица, допущенные к работе с персональными данными и являющиеся экспертами в различных сферах деятельности Управления, имеющие непосредственное отношение к уничтожаемым материалам.
10.6. На документальные материалы, отобранные комиссией для уничтожения, составляется акт об уничтожении документов, который подписывается членами комиссии и утверждается начальником Управления.
10.7. Отобранные и включенные в акт об уничтожении документальные материалы после их сверки членами комиссии хранятся отдельно от других материалов.
10.8. Уничтожение документальных материалов до утверждения акта об уничтожении документов начальником Управления запрещается.
10.9. Уничтожение должно производиться в возможно короткий срок после утверждения начальником Управления акта об уничтожении документов.
10.10. Без оформления акта уничтожаются: испорченные бумажные и технические носители, черновики и проекты документов и другие материалы, образовавшиеся при исполнении документов, содержащих персональные данные.
10.11. В процедуру уничтожения документов и носителей информации без составления акта входит проведение следующих мероприятий:
1) разрывание листов, разрушение магнитного или иного технического носителя в присутствии исполнителя и начальника структурного подразделения Управления, допущенных к обработке персональных данных;
2) накапливание остатков носителей в опечатываемом ящике (урне);
3) физическое уничтожение остатков носителей несколькими работниками структурного подразделения, допущенными к работе с персональными данными;
4) внесение отметок об уничтожении в учетные формы документов и носителей.
Приложение № 3
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПОРЯДОК
доступа государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Республики Хакасия, в помещения, в которых ведется обработка персональных данных
1. Настоящий Порядок доступа государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Республики Хакасия, Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - соответственно работники, Управление), в помещения, в которых ведется обработка персональных данных, разработан в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлениями Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», от 21.03.2012 № «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
2. Персональные данные относятся к конфиденциальной информации. Гражданские служащие и работники Управления, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, достигается, в том числе установлением правил доступа в помещения, где обрабатываются персональные данные в информационных системах персональных данных и без использования средств автоматизации.
4. Размещение информационных систем, в которых обрабатываются персональные данные, осуществляется в охраняемых помещениях.
5. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
6. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
7. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только государственные гражданские служащие Управления, уполномоченные на обработку персональных данных установленным образом.
8. Ответственными за организацию доступа в помещения Управления, в которых ведется обработка персональных данных, являются начальники структурных подразделений Управления.
9. Нахождение лиц в помещениях Управления, не являющихся уполномоченными лицами на обработку персональных данных, возможно только в присутствии уполномоченного должностного лица Управления на время, ограниченное необходимостью решения вопросов, связанных с исполнением функций и (или) осуществлением полномочий структурного подразделения Управления.
Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится лицом, ответственным за обеспечения безопасности персональных данных.
Приложение № 4
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПЕРЕЧЕНЬ
должностей государственных гражданских служащих Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
№п/п
Структурное подразделение
Должность
1
Руководство
Начальник Управления
Заместитель начальника Управления - начальник отдела планирования мероприятий ГО, предупреждения и ликвидации ЧС
Заместитель начальника Управления - начальник отдела оперативного планирования и управления
2
Отделение по кадровой работе и профилактике коррупционных правонарушений
Ведущий советник
Советник
(строка 2 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
3
Отдел оперативного планирования и управления
Советник
4
Отдел государственного надзора в области защиты населения и территорий от чрезвычайных ситуаций
Начальник отдела
(строка 4 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
5
Отдел пожарной безопасности, учета сил и средств
Начальник отдела
Советник
6
Отдел подготовки, обучения населения и связей с общественностью
Начальник отдела
Советник
7
Отдел финансово-экономического обеспечения, государственных закупок и делопроизводства
Начальник отдела
Заместитель начальника отдела
(строка 7 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 5
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПЕРЕЧЕНЬ
лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
№п/п
Фамилия, имя, отчество
Должность
1
Федосова
Лариса Леонидовна
Ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
(строка 1 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
2
Качур Наталья Ивановна
Ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
(строка 2 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
3
Строка 3 исключена приказом Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41
4
Турлевский
Игорь Иванович
Советник отдела оперативного планирования и управления
5
Турлевская
Татьяна Васильевна
Советник отдела оперативного планирования и управления
Приложение № 6
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПЕРЕЧЕНЬ
лиц, доступ которых в помещения Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия, где ведется обработка персональных данных необходим для выполнения ими служебных (трудовых) обязанностей»
№п/п
Фамилия, имя, отчество
Должность
1
Старков
Николай Иванович
Начальник Управления
2
Петрук
Виталий Алексеевич
Заместитель начальника Управления - начальник отдела планирования мероприятий ГО, предупреждения и ликвидации ЧС
3
Карамашев
Владимир Васильевич
Заместитель начальника Управления - начальник отдела оперативного планирования и управления
4
Федосова
Лариса Леонидовна
Ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
(строка 4 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
5
Качур Наталья Ивановна
Советник отделения по кадровой работе и профилактике коррупционных правонарушений
(строка 5 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
6
Коконов
Денис Гариевич
Начальник отдела государственного надзора в области защиты населения и территорий от чрезвычайных ситуаций
7
Строка 7 исключена приказом Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41
8
Турлевский
Игорь Иванович
Советник отдела оперативного планирования и управления
9
Турлевская
Татьяна Васильевна
Советник отдела оперативного планирования и управления
10
Гараев
Сергей Александрович
Начальник отдела пожарной безопасности, учета сил и средств
11
Деревянчук
Анна Николаевна
Советник отдела пожарной безопасности, учета сил и средств
12
Ворошилов
Дмитрий Андреевич
Начальник отдела подготовки, обучения населения и связей с общественностью
13
Тинкова
Анна Николаевна
Советник отдела подготовки, обучения населения и связей с общественностью
14
Дозорец
Вера Николаевна
Начальник отдела финансово-экономического обеспечения, государственных закупок и делопроизводства
(строка 14 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
15
Рачеева Людмила Дмитриевна
Заместитель начальника отдела финансово-экономического обеспечения, государственных закупок и делопроизводства
(строка 15 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 7
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПЕРЕЧЕНЬ
мест хранения материальных носителей персональных данных
«
№
п/п
место хранения
наименование документа, содержащего персональные данные (материальный носитель)
ответственное лицо за доступ к месту хранения
1.
Отделение по кадровой работе и профилактике коррупционных правонарушений,
каб. № 12 (металлический сейф № 1)
Личные дела и трудовые книжки гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы.
Журнал движения трудовых книжек.
Документы по воинскому учету и бронированию граждан.
Федосова Л.Л., ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
2.
Отделение по кадровой работе и профилактике коррупционных правонарушений,
каб. № 12 (металлический сейф № 2)
Архивные документы:
личные дела;
карточки Т-2, Т-2ГС на уволенных;
приказы по личному составу о приеме, увольнении, перемещении;
приказы по личному составу о поощрении, временном исполнении обязанностей, выплате процентных надбавок;
журналы регистрации приказов;
должностные регламенты, инструкции;
положения о структурных подразделениях.
Персональные личные дела, зачисленных в резерв кадров.
Федосова Л.Л., ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
3.
Отделение по кадровой работе и профилактике коррупционных правонарушений,
каб. № 12
(шкаф № 1)
Карточки Т-2, Т-2ГС на работающих.
Должностные регламенты, инструкции на работающих.
Положения о структурных подразделениях.
Приказы по личному составу о предоставлении отпусков, дисциплинарных взысканиях, служебных командировках.
Документы претендентов на замещение вакантных должностей и формирование кадрового резерва и зачисленных в резерв.
Протоколы заседаний комиссий о проведении конкурсов на замещение вакантных должностей и формирование кадрового резерва.
Тесты для проведения конкурсных испытаний.
Материалы служебных расследований.
Журналы прихода, расхода трудовых книжек.
Отчеты.
Документы по организации работы по обработке и защите персональных данных.
Документы временного хранения, утратившие силу:
протоколы заседаний на определение выслуги;
протоколы заседаний аттестационных и квалификационных комиссий;
переписка с Правительством Республики Хакасия, министерствами и ведомствами по кадровым вопросам; с военным комиссариатом;
графики предоставления отпусков;
документы претендентов для замещения вакантных должностей государственной гражданской службы и формирование кадрового резерва;
штатное расписание и изменения к нему (копии);
протоколы по оценке выполнения показателей эффективности деятельности и определению размера выплат стимулирующего характера руководителям подведомственных организаций;
документы ведомственного контроля по соблюдению трудового законодательства.
Федосова Л.Л., ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
4.
Отделение по кадровой работе и профилактике коррупционных правонарушений,
каб. № 12
(шкаф № 2)
Приказы по личному составу о приеме, увольнении, перемещении на работающих.
Приказы по личному составу о поощрении, временном исполнении обязанностей, выплате надбавок на работающих.
Приказы по личному составу о предоставлении отпусков (ежегодных, учебных, по беременности и родам, по уходу за ребенком до 1,5 - 3 лет), дисциплинарных взысканиях, служебных командировках на работающих.
Журналы регистрации приказов по личному составу.
Переписка с Правительством Республики Хакасия, министерствами и ведомствами по кадровым вопросам; переписка с военным комиссариатом.
Штатное расписание и изменения к нему (копии).
Документы по организации наставничества, испытания, установлению доплаты к государственной и/или трудовой пенсии, повышению квалификации работников. Наградные материалы.
Служебный распорядок для гражданских служащих и ПВТР для работников.
Журналы регистрации служебных контрактов, дополнительных соглашений, трудовых договоров, протоколов заседаний комиссий, выдачи служебных удостоверений, регистрации предложений и уведомлений
Федосова Л.Л., ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
5.
Приемная (шкаф)
Обращения граждан и ответы на них
Логинова М.С., главный эксперт отдела финансово-экономического обеспечения, государственных закупок и делопроизводства
»;
(таблица в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 8
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия
1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее – Правила) устанавливают порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее – Управление).
2. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом № 152-ФЗ.
4. Целью осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее – внутренний контроль) является обеспечение защиты персональных данных от несанкционированного доступа, неправомерного их использования или утраты, определение порядка и правил осуществления внутреннего контроля.
5. Внутренний контроль делится на текущий, плановый и внеплановый.
6. Текущий внутренний контроль осуществляется на постоянной основе ответственным за организацию обработки персональных данных в Управлении (далее – ответственный за организацию обработки) в ходе мероприятий по обработке персональных данных.
Ответственный за организацию обработки имеет право:
запрашивать у сотрудников Управления информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить начальнику Управления предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить начальнику Управления предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации о персональных данных.
7. Плановый внутренний контроль осуществляется комиссией, образуемой приказом начальника Управления, в состав которой входят работники Управления, допущенные к обработке персональных данных.
Плановый внутренний контроль соответствия обработки персональных данных установленным требованиям в Управлении проводится на основании утвержденного начальником Управления плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям, разрабатываемого председателем комиссии. Периодичность плановой проверки - не реже одного раза в год.
8. Внеплановый внутренний контроль может осуществляться на основании поступившего в Управление письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется председателем комиссии в течение 3 рабочих дней с момента поступления соответствующего заявления.
В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в её результатах.
9. При проведении внутреннего контроля ответственным за организацию обработки или комиссией должны быть полностью, объективно и всесторонне изучены:
наличие, учет, порядок хранения и обезличивания персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учёта ПЭВМ и съемных носителей информации, содержащей персональные данные;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
порядок проведения мероприятий и результаты по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
порядок проведения мероприятий по обеспечению целостности персональных данных.
10. В отношении персональных данных, ставших известными членам комиссии или ответственному за организацию обработки в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
11. Срок проведения плановой и внеплановой проверки не может составлять более 30 дней со дня принятия решения о её проведении.
12. Результаты внутреннего контроля оформляются в виде протокола проведения внутренней проверки (далее – протокол).
13. При выявлении в ходе внутреннего контроля нарушений ответственным за организацию обработки либо председателем комиссии в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.
14. Протоколы хранятся у ответственного за организацию обработки в течение текущего года. Уничтожение протоколов проводится ответственным за организацию обработки самостоятельно в январе года, следующего за проверочным годом
15. О результатах внутреннего контроля и мерах, необходимых для устранения нарушений, начальнику Управления докладывает ответственный за организацию обработки либо председатель комиссии.
Приложение № 1
к Правилам осуществления внутреннего
контроля соответствия обработки
персональных данных требованиям
к защите персональных данных, установленных
Федеральным законом «О персональных данных»,
принятыми в соответствии с ним нормативными
правовыми актами и локальными актами
Управления по ГО, ЧС и ПБ Республики Хакасия
СОСТАВ
комиссии по проведению внутреннего контроля соответствия обработки персональных данных в структурных подразделениях Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия требованиям к защите персональных данных
Петрук
Виталий Алексеевич
заместитель начальника Управления – начальник отдела планирования мероприятий ГО, предупреждения и ликвидации ЧС, председатель комиссии;
Федосова
Лариса Леонидовна
ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений, секретарь комиссии
Члены комиссии:
Турлевский
Игорь Иванович
советник отдела оперативного планирования и управления;
Турлевская
Татьяна Васильевна
советник отдела оперативного планирования и управления;
(приложение 1 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 9
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПРАВИЛА
рассмотрения запросов субъектов персональных данных или их представителей управлением по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия
1. Общие положения
1.1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей Управлением по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Правила) устанавливают единый порядок рассмотрения запросов субъектов персональных данных или их представителей в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Управление).
1.2. Рассмотрение запросов субъектов персональных данных или их представителей в Управлении осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
1.3. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом № 152-ФЗ.
1.4. Целью настоящих Правил является реализация прав субъекта персональных данных на получение информации, касающейся обработки его персональных данных в Управлении.
1.5. К субъектам, персональные данные которых обрабатываются, относятся:
1) граждане, обратившиеся в Управление с жалобами, заявлениями и по другим вопросам, касающимся установленной сферы деятельности;
2) граждане, претендующие на замещение должности государственной гражданской службы и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Управления;
3) граждане, представившие сведения для участия в конкурсе на формирование кадрового резерва и состоящие в кадровом резерве Управления;
4) граждане, замещающие (замещавшие) должности государственной гражданской службы, и должности, не являющиеся должностями государственной гражданской службы Управления.
2. Права субъекта персональных данных
2.1. Право субъекта персональных данных на доступ к его персональным данным:
2.2. Субъект персональных данных имеет право на получение сведений, указанных в пункте 2.8, за исключением случаев, предусмотренных пунктом 2.9. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.3. Сведения, указанные в пункте 2.8, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.4. Сведения, указанные в пункте 2.8, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. В запросе указываются сведения о субъекте персональных данных или его представителе в соответствии с пунктом 3.2.
2.5. В случае, если сведения, указанные в пункте 2.8, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 2.8, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодно приобретателем или поручителем по которому является субъект персональных данных.
2.6. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 2.8, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 2.5, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 3.2, должен содержать обоснование направления повторного запроса.
2.7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 3.2 и 3.3 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
2.8. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
2.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
2.10. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2.11. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3. Порядок предоставления оператором сведений по запросу субъекта персональных данных
3.1. При обращении либо при получении запроса субъекта персональных данных или его представителя сведения должны быть предоставлены в доступной форме. Запрос регистрируется в день поступления по правилам делопроизводства.
3.2. Запрос субъекта персональных данных должен содержать сведения, позволяющие провести его идентификацию:
1) фамилию, имя, отчество субъекта персональных данных и его представителя;
2) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
3) сведения о дате выдачи указанного документа и выдавшем его органе;
4) сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
5) подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3.3. Оператор при получении запроса субъекта персональных данных или его представителя обязан сообщить в порядке статьи 14 Федерального закона № 152-ФЗ субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение 30 дней с даты получения запроса.
В случае отказа в предоставлении информации о наличии персональных данных, оператор обязан дать в письменной форме мотивированный ответ со ссылкой на действующее законодательство, являющееся основанием для такого отказа. Отказ в предоставлении информации направляется в срок, не превышающий 30 (тридцати) дней со дня получения запроса субъекта персональных данных.
3.4. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор в срок, не превышающий семи рабочих дней, вносит в них необходимые изменения. О внесенных изменениях уведомляется субъект персональных данных или его представитель.
3.5. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные в срок, не превышающий семи рабочих дней. Об уничтоженных персональных данных уведомляется субъект персональных данных или его представитель.
3.6. Возможность ознакомления с персональными данными предоставляется на безвозмездной основе лицом, ответственным за обработку персональных данных.
Приложение № 10
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПРАВИЛА
работы с обезличенными данными в Управлении по гражданской обороне, чрезвычайным ситуациями пожарной безопасности Республики Хакасия
1. Настоящие Правила работы с обезличенными данными в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Правила) устанавливают порядок проведения мероприятий в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Управление) по обезличиванию персональных данных, порядок и условия работы с обезличенными данными.
2. Обезличивание персональных данных и работа с обезличенными данными в Управлении осуществляются в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
4. Целью обезличивания персональных данных в Управлении является обеспечение защиты персональных данных граждан от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5. Обезличивание персональных данных может быть проведено для решения следующих задач:
1) получения статистических данных;
2) снижения ущерба от разглашения защищаемых персональных данных;
3) снижения класса используемых информационных систем персональных данных.
Кроме того, обезличивание персональных данных может быть проведено по достижении сроков обработки или в случае утраты необходимости в достижении целей обработки, если иное не предусмотрено законодательством Российской Федерации.
5.1. В случае достижения целей обработки персональных данных или в случае утраты необходимости в их достижении, работник Управления, обрабатывающий персональные данные, обязан:
1) незамедлительно прекратить обработку персональных данных;
2) обезличить соответствующие персональные данные в срок, не превышающий 30 дней с даты достижения целей обработки персональных данных или утраты необходимости достижения этих целей.
5.2. Персональные данные не обезличиваются в случаях, если:
1) договором (соглашением), стороной которого или поручителем, по которому является субъект персональных данных, предусмотрен иной порядок обработки персональных данных;
2) законодательством установлены сроки обязательного архивного хранения материальных носителей персональных данных;
3) в иных случаях, прямо предусмотренных законодательством.
5.3. В случае выявления недостоверности персональных данных, неправомерности действий с персональными данными, работник Управления, обрабатывающий персональные данные, обязан осуществить незамедлительное блокирование указанных персональных данных и в срок, не превышающий трех рабочих дней с даты такого выявления, устранить допущенные нарушения.
В случае подтверждения факта недостоверности персональных данных работник Управления, обрабатывающий персональные данные, уточняет персональные данные и снимает с них блокирование на основании документов, представленных:
1) субъектом персональных данных (его законным представителем);
2) уполномоченным органом по защите прав субъектов персональных данных;
3) иными лицами.
5.4. В случае невозможности устранения допущенных нарушений работник Управления, обрабатывающий персональные данные, в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с персональными данными, обезличивает персональные данные.
Об устранении допущенных нарушений или об обезличивании персональных данных работник Управления, обрабатывающий персональные данные, уведомляет субъекта персональных данных (его законного представителя) по формам уведомления об устранении допущенных нарушений или уведомления об уничтожении (приложения № 1 и 2 к настоящим Правилам) и (или) уполномоченный орган по защите прав субъектов персональных данных по формам уведомления об устранении допущенных нарушений или уведомления об уничтожении (приложения № 3 и 4 к настоящим Правилам).
5.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных работник Управления, обрабатывающий персональные данные, обязан прекратить обработку персональных данных и обезличить их в срок, не превышающий 30 рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством, договором или соглашением между Управлением и субъектом персональных данных. Об обезличивании персональных данных работник Управления, обрабатывающий персональные данные, уведомляет субъекта персональных данных (его законного представителя).
6. Способы обезличивания:
6.1. К способам обезличивания персональных данных при условии дальнейшей обработки персональных данных относятся:
1) уменьшение перечня обрабатываемых сведений, замена части сведений условными обозначениями, обобщение (понижение) точности некоторых сведений;
2) деление сведений на части и обработка их в разных информационных системах;
3) другие способы.
6.2. К способам обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей относятся:
1) сокращение перечня персональных данных;
2) уничтожение персональных данных.
6.3. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе (закрашиванием, вырезанием и другое).
7. Правила работы с обезличенными данными:
7.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
7.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
7.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо:
1) использование паролей;
2) использование антивирусных программ;
3) соблюдение правил доступа в помещения, в которых ведется обработка персональных данных.
7.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
1) хранения бумажных носителей в условиях, исключающих доступ к ним посторонних лиц;
2) соблюдение правил доступа в помещения, в которых ведется обработка персональных данных.
Приложение №1
к Правилам работы с
обезличенными данными в Управлении
УВЕДОМЛЕНИЕ
об устранении допущенных нарушений
Уважаемый(ая) _________________________________________________________
(фамилия, имя, отчество)
в связи с _____________________________________________________________
______________________________________________________________________
сообщаем Вам, что все допущенные нарушения при обработке Ваших
персональных данных устранены.
"_____" __________ 20__ г. _________ _____________________
(дата) (подпись) (расшифровка подписи)
Приложение № 2
к Правилам работы с
обезличенными данными в Управлении
УВЕДОМЛЕНИЕ
об уничтожении
Уважаемый(ая) _________________________________________________________
(фамилия, имя, отчество)
в связи с _____________________________________________________________
________________________________________________________________________________________________________________________________________________
сообщаем Вам, что Ваши персональные данные уничтожены.
"____" __________ 20__ г. _________ _____________________
(дата) (подпись) (расшифровка подписи)
Приложение № 3
к Правилам работы с
обезличенными данными в Управлении
УВЕДОМЛЕНИЕ
об устранении допущенных нарушений
Настоящим уведомлением сообщаем Вам, что допущенные нарушения при
обработке персональных данных, а именно ________________________________
_______________________________________________________________________
_______________________________________________________________________
(указать допущенные нарушения)
устранены.
"__" __________ 20__ г. _________ _____________________
(дата) (подпись) (расшифровка подписи)
Приложение № 4
к Правилам работы с
обезличенными данными в Управлении
УВЕДОМЛЕНИЕ
об уничтожении
Настоящим уведомлением сообщаем Вам, что в связи с ______________________
_______________________________________________________________________
персональные данные ___________________________________________________
_______________________________________________________________________
_______________________________________________________________________
(указать, чьи персональные данные)
уничтожены.
"__" __________ 20__ г. _________ _____________________
(дата) (подпись) (расшифровка подписи)
Приложение № 11
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПЕРЕЧЕНЬ
персональных данных в информационных системах Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия и подлежащих защите
Конфиденциальность персональных данных - обязательное для соблюдения сотрудниками Управления требование: не допускать распространения персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
Защищаемыми информационными ресурсами в информационной системе Управления являются:
1. ПДн, обрабатываемые в автоматизированном виде:
1.1. Персональные данные субъектов ПДн включают:
ФИО;
Дата рождения;
Контактный телефон;
Адрес прописки;
Адрес фактического проживания;
Паспортные данные;
Данные о месте рождения;
Данные о смерти;
Данные об усыновлении, установлении отцовства;
Данные о браке;
Данные об изменение имени, фамилии, отчества;
Данные о родственниках;
Гражданство;
Национальность;
Данные о состоянии здоровья.
1.2. Персональные данные сотрудников и работников Управления включают:
Фамилия, имя, отчество;
Место и дата рождения;
Гражданство;
Адрес по прописке;
Паспортные данные (серия, номер паспорта, кем и когда выдан), в том числе загранпаспорт;
Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, серия, дата выдачи, специальность, квалификация);
Информация о трудовой деятельности до приема на работу (место работы, должность, период работы, причины увольнения);
Информация о трудовом стаже;
Адрес проживания (фактический);
Телефонный номер (домашний, рабочий, мобильный);
Семейное положение и состав семьи (муж/жена, дети);
Информация о знании иностранных языков;
Допуск к государственной тайне;
Оклад, надбавки;
Отношение к судимости;
Пребывание за границей;
Сведения о доходах, имуществе, обязательствах имущественного характера своих, супруга и несовершеннолетних детей;
Данные о трудовом договоре (служебном контракте) (№ трудового договора (служебного контракта), дата его заключения, дата начала и дата окончания, вид работы, срок действия, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, должностные обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору (служебного контракта), характер работы, форма оплаты труда, категория персонала, условия труда, продолжительность рабочей (служебной) недели, система оплаты);
Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета, состав (профиль), ВУС, отношение к воинскому учету, бронирование);
ИНН;
СНИЛС;
Данные об аттестации работников;
Данные о повышении квалификации, профессиональная переподготовка;
Данные о наградах, медалях, поощрениях, почетных званиях;
Информация о приеме на работу, перемещении по должности, увольнении;
Информация об отпусках;
Информация о командировках;
Информация о состоянии здоровья, о временной нетрудоспособности;
Информация о медицинском страховании;
Информация о негосударственном пенсионном обеспечении.
1.3. В Управлении осуществляется неавтоматизированная обработка следующих ПДн:
ФИО;
Дата рождения;
Адрес по прописки;
Адрес фактического проживания;
Паспортные данные;
Данные о месте рождения;
Данные об изменение имени, фамилии, отчества;
Данные о родственниках;
Гражданство;
Данные о состоянии здоровья.
Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, серия, дата выдачи, специальность, квалификация);
Информация о трудовой деятельности до приема на работу (место работы, должность, период работы, причины увольнения);
Информация о трудовом стаже;
Телефонный номер (домашний, рабочий, мобильный);
Семейное положение и состав семьи (муж/жена, дети);
Информация о знании иностранных языков;
Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета, состав (профиль), ВУС, отношение к воинскому учету, бронирование);
ИНН;
СНИЛС;
Данные об аттестации работников;
Данные о повышении квалификации, профессиональная переподготовка;
Данные о наградах, медалях, поощрениях, почетных званиях;
Информация о приеме на работу, перемещении по должности, увольнении;
Информация об отпусках.
Приложение № 12
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
Перечень
общедоступных персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия
1. Фамилия.
2. Имя.
3. Отчество.
4. Должность.
5. Контактная информация: служебный номер телефона, служебный адрес электронной почты.
Приложение № 13
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПЕРЕЧЕНЬ
Защищаемых данных в информационных системах Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия и подлежащих защите
защищаемыми информационными ресурсами в информационной системе Управления являются:
Данные, содержащиеся в информационной системе Управления, в том числе информация:
- ПДн государственных гражданских служащих;
- ПДн работников, замещающих должности, не являющиеся должностями государственной гражданской службы;
- ПДн граждан, представивших сведения для участия в конкурсе на формирование кадрового резерва Управления, в том числе состоящие в кадровой резерве Управления
Технологическая информация включает:
управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
сведения о проведенных служебных проверках, дисциплинарных взысканиях;
информация о квалификационных экзаменах;
сведения о кадровом резерве;
технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;
информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;
информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.
Программно-технические средства обработки включают в себя:
общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);
резервные копии общесистемного программного обеспечения;
инструментальные средства и утилиты систем управления ресурсами ИСПДн;
аппаратные средства обработки ПДн (АРМ и сервера);
сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).
Средства защиты данных состоят из аппаратно-программных средств, включают в себя:
средства управления и разграничения доступа пользователей;
средства обеспечения регистрации и учета действий с информацией;
средства, обеспечивающие целостность данных;
средства антивирусной защиты;
средства анализа защищенности;
средства обнаружения вторжений
средства межсетевого экранирования;
средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.
Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.
Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты. Данная информация является конфиденциальной, хотя, учитывая ее массовость и единое место обработки и хранения, соответствующий гриф ограничения на них не ставится.
В информационную систему могут включаться иные сведения, за исключением сведений, отнесенных к государственной тайне.
Приложение № 14
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПРАВИЛА
ведения журналов в части защиты информации
1. Настоящие Правила устанавливают порядок ведения и хранения специальных журналов в части защиты информации
2. При осуществлении видов деятельности, связанных с обеспечением безопасности защищаемой информации, любые операции, в результате которых изменяется уровень и класс защищенности информации, подлежат занесению в соответствующий журнал.
3. Руководитель Управления назначает лиц, ответственных за ведение и хранение журналов.
4. Записи в журналах регистрации производятся лицом, ответственным за их ведение и хранение, шариковой ручкой (чернилами) с периодичностью, устанавливаемой руководителем Управления, но не реже одного раза в течение дня совершения операций с защищаемыми данными на основании документов, подтверждающих совершение этих операций.
5. Каждый журнал на первой странице обложки должен иметь следующую информацию:
название журнала;
ответственный за ведение журнала;
дата начала ведения журнала;
дата окончания ведения журнала;
место хранения в процессе работы;
срок архивного хранения;
место архивного хранения.
6. Страницы журнала должны быть пронумерованы.
7. Журналы должны быть сброшюрованы, пронумерованы и скреплены подписью руководителя Управления и печатью Управления.
8. Записи должны вестись последовательно, не допускается делать записи справа или слева от уже сделанных записей.
9. Запрещается оставлять свободное место на страницах так, чтобы верхняя часть страницы была свободна, а внизу были сделаны записи.
10. Нумерация записей в журналах осуществляется в пределах календарного года в порядке возрастания номеров. Нумерация записей в новых журналах регистрации начинается с номера, следующего за последним номером в заполненных журналах.
11. Не использованные в текущем календарном году страницы журналов прочеркиваются и не используются в следующем календарном году.
12. Если в процессе ведения записей возникают записи на отдельных листах, эти листы, а так же документы или их копии, подтверждающие совершение операции с защищаемой информацией, должны быть подшиты или вклеены в журнал. Допускается подшить такие записи и документы в отдельную папку, которая хранится вместе с соответствующим журналом.
13. Запись в журналах каждой проведенной операции заверяется подписью лица, ответственного за их ведение и хранение, с указанием фамилии и инициалов.
14. Запрещается вносить записи карандашом и использовать замазку. Если запись сделана ошибочно, необходимо зачеркнуть ее так, чтобы была видна ошибочно сделанная запись, рядом внести правильную запись. Если ошибка была допущена при записи итоговых результатов, рядом с правильной записью необходимо поставить дату и подпись. Если записи были сделаны так, что места для внесения правильной записи нет, ошибочную запись необходимо зачеркнуть, выделить маркером, поставить рядом значок «*» и внести правильную запись в конце текущей записи.
15. Исправления в журналах заверяются подписью лица, ответственного за их ведение и хранение. Подчистки и незаверенные исправления в журналах регистрации не допускаются.
16. Журнал регистрации хранится в металлическом шкафу (сейфе) в технически укрепленном помещении. Ключи от металлического шкафа (сейфа) и технически укрепленного помещения находятся у лица, ответственного за ведение и хранение журнала регистрации.
17. Заполненные журналы вместе с документами, подтверждающими осуществление операций, хранятся в Управлении в течение 10 лет после внесения в них последней записи. По истечении указанного срока журналы подлежат уничтожению по акту, утверждаемому руководителем Управления.
18. При реорганизации юридического лица журналы и документы, подтверждающие осуществление операций, передаются на хранение правопреемнику.
19. В случае ликвидации юридического лица журналы и документы, подтверждающие осуществление операций, передаются на хранение в государственный или муниципальный архив по месту нахождения юридического лица в соответствии с законодательством об архивном деле в Российской Федерации до истечения срока их временного хранения, установленного пунктом 17 настоящих Правил, после чего подлежат уничтожению в установленном порядке.
Приложение № 15
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
СПИСОК
помещений, выделенных для установки СКЗИ и хранения ключевых документов к ним
Для установки СКЗИ выделены следующие кабинеты:
«
№ п/п
Название кабинета
Адрес расположения
1.
Отделение по кадровой работе и профилактике коррупционных правонарушений (каб. № 12)
г.Абакан ул. Щетинкина д.13 пом. 1Н
»;
Для хранения ключевых документов СКЗИ выделены следующие кабинеты:
«
№ п/п
Название кабинета
Адрес расположения
1.
Отделение по кадровой работе и профилактике коррупционных правонарушений (каб. № 12)
г.Абакан ул. Щетинкина д.13 пом. 1Н
»;
(приложение 15 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 16
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
СПИСОК
должностных лиц, допущенных к работе с СКЗИ
К работе с СКЗИ допускаются следующие лица:
№ п/п
Фамилия Имя Отчество
Должность
Старков Николай Иванович
Начальник Управления
Турлевский Игорь Иванович
Советник отдела оперативного планирования и управления
Федосова Лариса Леонидовна
Ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
(строка 3 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Качур Наталья Ивановна
Советник отделения по кадровой работе и профилактике коррупционных правонарушений
(строка 4 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 17
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
(типовая форма)
ОБЯЗАТЕЛЬСТВО
государственного гражданского служащего Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением служебных обязанностей
Мне, ____________________________________________________________________,
(фамилия, имя, отчество полностью)
паспорт (иной документ, удостоверяющий личность)__________________________ ______,
_______________________________________________________________________________
(серия, номер, кем и когда выдан)
известно, что в период прохождения государственной гражданской службы в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее – Управление) персональные данные, ставшие мне известными в связи с исполнением должностных обязанностей, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат.
В случае расторжения со мной служебного контракта, освобождения меня от замещаемой должности и увольнения из Управления, прекращения (расторжения) трудового договора обязуюсь:
1. Не разглашать персональные данные, ставшие мне известными в связи с исполнением должностных обязанностей в Управлении, третьей стороне без письменного согласия субъектов персональных данных, за исключением случаев, когда это требуется в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных законодательством.
2. Не использовать персональные данные, ставшие мне известными в связи с исполнением должностных обязанностей в Управлении, в коммерческих целях без письменного согласия субъектов персональных данных.
3. Прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей в Управлении.
4. Не копировать лично и не давать поручения копировать электронную базу данных, не допускать её копирования третьими лицами, сдать все имеющиеся электронные носители, принадлежащие Управлению.
Мне разъяснены положения действующего законодательства об обеспечении сохранности персональных данных субъектов персональных данных.
Мне известно, что нарушение этих положений может повлечь дисциплинарную, гражданско-правовую, административную и уголовную ответственность в соответствии с законодательством Российской Федерации.
«____»_______________20___г. ____________________________
(подпись, расшифровка подписи)
Приложение № 18
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
(типовая форма)
РАЗЪЯСНЕНИЕ
субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
Мне, _____________________________________________________________________________,
(Фамилия, имя, отчество)
паспорт (иной документ, удостоверяющий личность)________________________________,
_______________________________________________________________________________
(серия, номер, кем и когда выдан)
разъяснены юридические последствия отказа предоставить свои персональные данные Управлению по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее – Управление).
В соответствии со статьями 26, 42 Федерального закона от 27.07.2004 № 79-ФЗ «О государственной гражданской службе в Российской Федерации», статьями 57, 65 Трудового кодекса Российской Федерации, постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», определён перечень персональных данных, которые субъект персональных данных обязан предоставить для заключения служебного контракта (трудового договора), а также для решения вопросов в сфере деятельности, оказания государственной услуги, реализации права на труд, права на пенсионное обеспечение, права на медицинское страхование.
Для государственных гражданских служащих
я предупрежден, что в случае отказа предоставить свои персональные данные служебный контракт на основании п. 11 ст. 33 ФЗ-79 «О государственной гражданской службе в Российской Федерации» подлежит расторжению вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность замещения должности гражданской службы.
Для работников:
я предупрежден, что в случае отказа предоставить свои персональные данные Трудовой договор на основании ст. 57, 65 Трудового кодекса Российской Федерации» подлежит расторжению вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность продолжения работы.
«____»_______________20___г. ____________________________
(подпись, расшифровка подписи)
Юридические последствия отказа предоставить персональные данные разъяснил (а):
_______________________ _________________ ______________________
(должность) (подпись) (Ф.И.О.)
Приложение № 19
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
(типовая форма)
СОГЛАСИЕ
на обработку персональных данных
Я, ____________________________________________________________________________
(фамилия, имя, отчество)
имеющий(ая) ______________________ серия _________ № _____________________
(вид документа, удостоверяющего личность)
выдан_______________________________________________________________________________________________________________________________________________________________,
(наименование органа, выдавшего паспорт, дата выдачи)
проживающий(ая) ______________________________________________________________,
(адрес места жительства по паспорту)
выражаю своё согласие на обработку моих персональных данных по своей воле и в своихинтересах____________________________________________________________
(наименование государственного органа Республики Хакасия, получающего согласие субъекта
_________________________________________________________________________
персональных данных, адрес государственного органа, получающего согласие субъекта персональных данных)
с целью _________________________________________________________________
(цель обработки персональных данных)
на обработку персональных данных __________________________________________
_________________________________________________________________________
(перечень персональных данных, на обработку которых дается согласие субъекта персональных данных)
Обработка персональных данных поручается ___________________________________
(наименование или фамилию, имя, отчество,
_________________________________________________________________________
адрес лица, осуществляющего обработку персональных данных по поручению оператора (указать наименование
_________________________________________________________________________________________________________
оператора), если обработка будет поручена такому лицу)
с персональными данными будут совершаться следующие действия ___________________
__________________________________________________________________________________________________________________________________________________
(перечень действий с персональными данными, на совершение которых дается согласие)
Настоящее согласие на обработку персональных данных действует в течение __________
_________________________________________________________________________
(срок, в течение которого действует согласие субъекта персональных данных)
Мне известно, что обработка моих персональных данных будет осуществляться с применением электронных и бумажных носителей информации.
Я оставляю за собой право отозвать своё настоящее согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.
«____» _____________201 г.
________________
______________________
Приложение № 20
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
(типовая форма)
Начальнику Управления по гражданской обороне,
чрезвычайным ситуациям и пожарной
безопасности Республики Хакасия
___________________________________________
(Ф.И.О)
___________________________________________,
(Ф.И.О.)
Зарегистрированного по адресу ________________
___________________________________________
___________________________________________
(Вид документа, удостоверяющего личность, серия, номер)
выдан _____________________________________
___________________________________________
(наименование организации, выдавшей документ)
___________________________________________
(дата выдачи)
СОГЛАСИЕ
на получение персональных данных от третьих лиц
Я, _______________________________________________________________,
(фамилия, имя, отчество полностью)
в соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ____________________________________
_______________________________________________________________________,
(наименование государственного органа)
расположенному по адресу: _______________________________________________,
на получение моих персональных данных о предыдущих местах работы и периодах трудовой деятельности от третьих лиц. Так же проверку моих персональных данных, а именно – проверку движимого имущества, проверку недвижимого имущества, проверку доходов, в том числе проверку сведений о счетах в банках и иных кредитных организациях, проверку сведений об остатках денежных средств на счетах, о суммах поступивших на счета денежных средств, о размерах доходов от вкладов в банках и иных кредитных организаций, проверку подлинности диплома, проверку подлинности медицинского заключения.
Перечень действия – запросы в учреждения, организации, предприятия, банки и иные кредитные учреждения.
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
___________________
(дата)
______________
(подпись)
_________________
(Ф.И.О.)
(приложение 20 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 21
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
(типовая форма)
ЗАЯВЛЕНИЕ
субъекта об отзыве согласия
Начальнику Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия
_________________________________________
(И.О. фамилия)
_____________________________________________________________
адрес
от ______________________________________
(Ф.И.О. субъекта)
_________________________________________
адрес, где зарегистрирован субъект
_________________________________________
номер основного документа, удостоверяющего его личность
_________________________________________
дата выдачи указанного документа
_________________________________________
наименование органа, выдавшего документ
ЗАЯВЛЕНИЕ
Прошу Вас
(прекратить обработку, блокировать/уточнить/изменить/уничтожить/устранить нарушения)
моих персональных данных в связи с
(указать причину)
«____»___________ 201__ г. _______________ _____________________
(подпись) (Фамилия И.О.)
Приложение № 22
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
(типовая форма)
СОГЛАСИЕ
субъекта персональных данных считать сведения общедоступными
Я,
(Ф.И.О.)
(адрес субъекта)
(номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)
даю согласие считать следующие персональные данные общедоступными: _______
(перечислить персональные данные)
необходимых в целях информационного обеспечения при работе в , расположенного по адресу: .
Согласен на совершение следующих действий с моими общедоступными персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, уничтожение, удаление персональных данных следующими способами: автоматизированная обработка, обработка без использования средств автоматизации.
В случае отзыва согласия на обработку персональных данных, в Управление по ГО, ЧС и ПБ Республики Хакасия обязуется прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 дней.
Данное согласие действует с «___» __________ 201__ г. по «___» ________ 201__ г.
С правом отзыва настоящего согласия ознакомлен.
_____________________________ «____» ________________ 201__г. (подпись)
ГУБЕРНАТОР КАМЧАТСКОГО КРАЯ
УПРАВЛЕНИЕ ПО ГРАЖДАНСКОЙ ОБОРОНЕ, ЧРЕЗВЫЧАЙНЫМ СИТУАЦИЯМ И ПОЖАРНОЙ БЕЗОПАСНОСТИ РЕСПУБЛИКИ ХАКАСИЯ
ПРИКАЗ
от 23.03.2020 № 60
ОБ ОРГАНИЗАЦИИ РАБОТЫ ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
(в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Для организации защиты информации, обрабатываемой в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее – Управление) и с целью выполнения требований Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федеральных законов от 27.07.2006 № 152-ФЗ «О персональных данных», от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с последующими изменениями), Указа Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственных гражданских служащих Российской Федерации и ведении его личного дела» (с последующими изменениями), постановлений Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (с последующими изменениями), приказов Федеральной службы по техническому и экспортному контролю от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (с последующими изменениями), приказа ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», приказа Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» приказываю:
1. Ввести в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Управление) режим защиты персональных данных при их обработке в информационных системах персональных данных Управления в соответствии с требованиями действующего законодательства Российской Федерации.
2. Утвердить и ввести в действие:
2.1. Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах Управления (приложение № 1).
2.2. Правила обработки персональных данных в Управлении (приложение № 2).
2.3. Порядок доступа государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Республики Хакасия, в помещения, в которых ведется обработка персональных данных (приложение № 3).
2.4. Перечень должностей государственных гражданских служащих Управления, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение № 4).
2.5. Перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей (приложение № 5).
2.6. Перечень лиц, доступ которых в помещения Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия, где ведется обработка персональных данных необходим для выполнения ими служебных (трудовых) обязанностей» (приложение № 6).
2.7. Перечень мест хранения материальных носителей персональных данных (приложение № 7).
2.8. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Управления (приложение № 8).
2.9. Правила рассмотрения запросов субъектов персональных данных или их представителей Управлением (приложение № 9).
2.10. Правила работы с обезличенными данными в Управлении (приложение № 10).
2.11. Перечень персональных данных в информационных системах Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия и подлежащих защите (приложение № 11).
2.12. Перечень общедоступных персональных данных (приложение № 12).
2.13. Перечень Защищаемых данных в информационных системах Управления и подлежащих защите (приложение № 13).
2.14. Правила ведения журналов в части защиты информации (приложение № 14).
2.15. Список помещений, выделенных для установки СКЗИ и хранения ключевых документов к ним (приложение № 15).
2.16. Список должностных лиц, допущенных к работе с СКЗИ (приложение № 16).
2.17. Типовую форму обязательства государственного гражданского служащего (работника), непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением служебных обязанностей (приложение № 17).
2.18. Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (приложение № 18).
2.19. Типовую форму согласия на обработку персональных данных (приложение № 19).
2.20. Типовую форму согласия на получение персональных данных от третьих лиц (приложение № 20).
2.21. Заявление субъекта об отзыве согласия (приложение № 21).
2.22.Согласие субъекта персональных данных считать сведения общедоступными (приложение № 22).
3. Определить хранилище _металлический сейф № 1__(инв № ВА 0001337), расположенное на первом этаже по адресу г.Абакан ул.Щетинкина д.13 пом.1Н для размещения эксплуатации и хранения средств криптографической защиты.
4. Разрешить доступ к данному хранилищу следующим сотрудникам:
начальнику Управления Старкову Николаю Ивановичу;
советнику отдела оперативного планирования и управления Турлевскому Игорю Ивановичу;
ведущему советнику отделения по кадровой работе и профилактике коррупционных правонарушений Федосовой Ларисе Леонидовне;
советнику отделения по кадровой работе и профилактике коррупционных правонарушений Качур Наталье Ивановне.
(пункт 4 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
5. Разрешить доступ в помещения, в которых обрабатываются защищаемые данные, государственным гражданским служащим и работникам, замещающих должности, не являющиеся должностями государственной гражданской службы Республики Хакасия в соответствии с «Перечнем лиц, доступ которых в помещения Управления, где ведется обработка персональных данных необходим для выполнения ими служебных (трудовых) обязанностей»
5.1. Должностные лица, допущенные к обработке защищаемых данных, должны обеспечивать:
конфиденциальность защищаемых данных в соответствии с требованиями документа «Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах управления и действующим законодательством Российской Федерации;
выполнение требований документа «Инструкция пользователя информационных систем Управления», и «Порядок доступа государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Республики Хакасия в помещения, в которых ведется обработка персональных данных».
5.2. Доступ лиц, не указанных в «Перечне лиц, доступ которых в помещения Управления, где ведется обработка персональных данных необходим для выполнения ими служебных (трудовых) обязанностей» осуществлять только в присутствии должностных лиц Управления, указанных в «Перечне лиц, доступ которых в помещения Управления, где ведется обработка персональных данных необходим для выполнения ими служебных (трудовых) обязанностей».
5.3. Считать границей контролируемой зоны ограждающие конструкции помещений, в которых располагаются компоненты информационных систем Управления в соответствии с приложенной схемой.
6. Ведущему советнику отделения по правовому обеспечению и кадровой работе Федосовой Л.Л. ознакомить под роспись государственных гражданских служащих и работников Управления с настоящим приказом.
7. Признать утратившими силу (отменить):
приказ Управления от 08.12.2017 № 122 «Об организации работы по обработке и защите персональных данных» («Хакасия», 2015, № 15);
приказ Управления от 09.02.2018 № 22 «О внесении изменений в приказ Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 08.12.2017 № 122 «Об организации работы по обработке и защите персональных данных» («Хакасия», 2015, № 49);
приказ Управления от 22.08.2018 № 78 «О внесении изменений в приказ Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 08.12.2017 № 122 «Об организации работы по обработке и защите персональных данных» («Хакасия», 2015, № 180);
приказ Управления от 03.06.2019 № 77 «О внесении изменений в приказ Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 08.12.2017 № 122 «Об организации работы по обработке и защите персональных данных» («Хакасия», 2015, № 130).
8. Контроль за исполнением настоящего приказа оставляю за собой.
Начальник Управления
Н. Старков
Приложение № 1
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПОЛОЖЕНИЕ
по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах Управления
Общие положения
Настоящее Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах Управления (далее – Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 .07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Цель разработки настоящего Положения – установление порядка организации и проведения работ по обеспечению безопасности персональных данных (далее – ПДн) в информационных системах (далее – ИС) Управления на протяжении всего жизненного цикла ИС.
Термины и определения
В настоящем Положении используются следующие термины и их определения:
Информационная система – система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы, которые обеспечивают и распространяют информацию.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания, если иное не предусмотрено федеральным законом.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Обработка персональных данных – действия (операции) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
Порядок организации и проведения работ по обеспечению безопасности персональных данных
Под организацией обеспечения безопасности ПДн при их обработке в ИС понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн, реализуемых в рамках создаваемой системы защиты персональных данных (далее – СЗПДн).
СЗПДн включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн, уровня защищенности ПДн, который необходимо обеспечить, и информационных технологий, используемых в информационных системах.
Безопасность ПДн при их обработке в ИС обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность ПДн при их обработке в информационной системе.
Выбор средств защиты информации для СЗПДн осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации (далее – ФСБ России) и Федеральной службой по техническому и экспортному контролю (далее – ФСТЭК России) во исполнение Федерального закона «О персональных данных».
Структура, состав и основные функции СЗПДн определяются исходя из уровня защищенности ПДн при их обработке в ИС.
СЗПДн создается в три этапа:
Этап 1. Предпроектное обследование ИС и разработка технического задания на создание СЗПДн.
Этап 2. Проектирование СЗПДн, закупка, установка, настройка необходимых средств защиты информации.
Этап 3. Ввод ИС с СЗПДн в эксплуатацию.
Этап 1. Проведение предпроектного обследования и разработка технического задания на создание СЗПДн.
3.7.1. Назначение ответственного за организацию обработки ПДн Управления.
3.7.2. Создание комиссии по определению уровня защищенности ПДн при их обработке в ИС Управления.
3.7.3. Определение целей обработки ПДн Управления.
3.7.4. Определение перечня ИС Управления и состава ПДн, обрабатываемых в ИС.
3.7.5. Определение перечня обрабатываемых Управлением ПДн.
3.7.6. Определение сроков обработки и хранения ПДн, исходя из требования, что ПДн не должны храниться дольше, чем этого требуют цели обработки этих ПДн, по достижению которых ПДн подлежат уничтожению.
3.7.7. Определение перечня используемых в ИС (предлагаемых к использованию в ИС) общесистемных и прикладных программных средств.
3.7.8. Определение режимов обработки ПДн в ИС в целом и в отдельных компонентах.
3.7.9. Назначение ответственного за обеспечение безопасности ПДн в ИС (далее – ответственный) для разработки и осуществления технических мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИС. Для каждой ИС может быть назначен отдельный ответственный.
3.7.10. Назначение ответственного пользователя криптосредств, обеспечивающего функционирование и безопасность криптосредств, предназначенных для обеспечения безопасности ПДн. Утверждение перечня лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности ПДн в ИС (пользователей криптосредств).
3.7.11. Определение перечня помещений, в которых размещены ИС и материальные носители ПДн.
3.7.12. Определение конфигурации и топологии ИС в целом и их отдельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения.
3.7.13. Определение технических средств и систем, используемых в ИС, включая условия их расположения.
3.7.14. Формирование технических паспортов ИС.
3.7.15. Разработка организационно-распорядительных документов (далее – ОРД), регламентирующих процесс обработки и защиты ПДн:
Политика в отношении обработки персональных данных;
Инструкции (ответственного за организацию обработки ПДн, ответственного за обеспечение безопасности ПДн в ИС, пользователя ИС, ответственного пользователя криптосредств);
Раздел должностных инструкций гражданских служащих и работников Управления в части обеспечения безопасности ПДн при их обработке, включая установление персональной ответственности за нарушения правил обработки ПДн.
3.7.16. Получение (при необходимости) согласия на обработку ПДн субъектом ПДн, подписание обязательства о соблюдении конфиденциальности ПДн гражданским служащим и работником Управления.
3.7.17. Утверждение форм уведомлений субъектов ПДн и форм журналов, необходимых в целях обеспечения безопасности ПДн.
3.7.18. Определение уровня защищенности ПДн при их обработке в ИС в соответствии с «Требованиями к защите ПДн при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства Российской Федерации от 01.11.2012 № 1119 (подготовка и утверждение акта определения уровня защищенности ПДн при их обработке в ИС).
3.7.19. Определение типа угроз безопасности ПДн, актуальных для информационной системы, с учетом оценки возможного вреда в соответствии с нормативными правовыми актами, принятыми во исполнение Федерального закона «О персональных данных». Определение угроз безопасности ПДн в конкретных условиях функционирования ИС (разработка моделей угроз безопасности ПДн при их обработке в ИС).
3.7.20. Формирование технического задания на разработку СЗПДн по результатам предпроектного обследования на основе нормативно-методических документов ФСТЭК России и ФСБ России с учетом установленного уровня защищенности ПДн при их обработке в ИС.
Техническое задание на разработку СЗПДн должно содержать:
обоснование разработки СЗПДн;
исходные данные создаваемой (модернизируемой) ИС в техническом, программном, информационном и организационном аспектах;
уровень защищенности ПДн при их обработке в ИС;
ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн, и приниматься в эксплуатацию ИС;
конкретизацию мероприятий и требований к СЗПДн;
состав и содержание работ по этапам разработки и внедрения СЗПДн
перечень предполагаемых к использованию сертифицированных средств защиты информации.
Этап 2. Проектирование СЗПДн, закупка, установка, настройка и опытная эксплуатация необходимых средств защиты информации.
3.8.1. Создание СЗПДн является необходимым условием обеспечения безопасности ПДн, в том случае, если существующие организационные и технические меры обеспечения безопасности не соответствуют требованиям к обеспечению безопасности ПДн для соответствующего уровня защищенности ПДн при их обработке в ИС и/или не нейтрализуют всех угроз безопасности ПДн для данной ИС.
3.8.2. Технические меры защиты ПДн предполагают использование программно-аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов Управления. Применение технических мер должно быть регламентировано нормативным актом Управления.
3.8.3. Средства защиты информации, применяемые в ИС, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.
3.8.4. На стадии проектирования и создания СЗПДн для ИС Управления проводятся следующие мероприятия:
разработка технического проекта СЗПДн;
приобретение (при необходимости), установка и настройка серийно выпускаемых технических средств обработки, передачи и хранения информации;
разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
приобретение, установка и настройка сертифицированных технических, программных и программно-технических средств защиты информации, в том числе (при необходимости) средств криптографической защиты информации;
реализация разрешительной системы доступа пользователей ИС к обрабатываемой в ИС информации;
подготовка эксплуатационной документации на используемые средства защиты информации;
корректировка (дополнение) организационно-распорядительной документации в части защиты информации.
Этап 3. Ввод ИС с СЗПДн в промышленную эксплуатацию.
3.9.1. На стадии ввода в ИС (СЗПДн) осуществляются:
опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИС (при необходимости);
приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации (при необходимости);
контроль выполнения требований (возможно проведение данного контроля в виде аттестации по требованиям безопасности ПДн).
3.9.2. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
Проведение работ по обеспечению безопасности персональных данных
Работы по обеспечению безопасности ПДн проводятся в соответствии с Планом мероприятий по защите персональных данных (Приложение № 1). Внутренние проверки режима защиты ПДн Управления проводятся в соответствии с Планом внутренних проверок режима защиты персональных данных (Приложение № 2).
Контроль за проведением работ по обеспечению безопасности ПДн осуществляет ответственный за организацию обработки ПДн в виде методического руководства, участия в разработке требований по защите ПДн, организации работ по выявлению возможных каналов утечки информации, согласования выбора средств вычислительной техники и связи, технических и программных средств защиты, участия в оценке соответствия ИС Управления требованиям безопасности ПДн.
При необходимости к проведению работ по обеспечению безопасности ПДн могут привлекаться специализированные организации, имеющие лицензию ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.
Решение вопросов обеспечения безопасности персональных данных в динамике изменения обстановки и контроля эффективности защиты
Модернизация СЗПДн для функционирующих ИС Управления должна осуществляться в случае:
изменения состава или структуры ИС или технических особенностей ее построения (изменения состава или структуры программного обеспечения, технических средств обработки ПДн, топологии ИС);
изменения состава угроз безопасности ПДн в ИС;
изменения уровня защищенности ПДн при их обработке в ИС;
прочих случаях, по решению оператора.
В целях определения необходимости доработки (модернизации) СЗПДн не реже одного раза в год ответственным за организацию обработки ПДн должна проводиться проверка состава и структуры ИС, состава угроз безопасности ПДн в ИС и уровня защищенности ПДн при их обработке в ИС, соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией. Результаты проверки оформляются актом проверки и утверждаются начальником Управления.
Анализ инцидентов безопасности ПДн и составление заключений в обязательном порядке должно проводиться в случае выявления следующих фактов:
несоблюдение условий хранения носителей ПДн;
использование средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/ целостность/доступность) ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн;
нарушение заданного уровня безопасности ПДн (конфиденциальность/ целостность/доступность).
Приложение № 1
к Положению по организации
и проведению работ по обеспечению
безопасности персональных данных
при их обработке в информационных
системах Управления по ГО, ЧС и ПБ
Республики Хакасия
ПЛАН МЕРОПРИЯТИЙ
по защите персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия
№ п\п
Наименование мероприятия
Срок выполнения
Примечание
1.
Документальное регламентирование работы с ПДн
При необходимости
Разработка организационно-распорядительных документов по защите ПДн, либо внесение изменений в существующие
2.
Получение согласий субъектов ПДн (физических лиц) на обработку ПДн в случаях, когда этого требует законодательство
Постоянно
В случаях, предусмотренных Федеральным законом «О персональных данных», обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Форма согласия приведена в Приказе «Об утверждении форм документов, необходимых в целях выполнения требований законодательства в области персональных данных». Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью
3.
Пересмотр договора с третьими лицами на поручение обработки ПДн
При необходимости
В случае поручения обработки ПДн субъектов ПДн третьим лицам (например, кредитно-финансовым учреждениям) в договор включается пункт о соблюдении конфиденциальности при обработке ПДн, а также учитываются требования ч.3 ст.6 Федерального закона «О персональных данных»
4.
Ограничение доступа сотрудников к ПДн
При необходимости (при создании ИС)
В случае создания ИС, а также приведения имеющихся ИС в соответствие с требованиями закона необходимо разграничить доступ сотрудников Оператора к ПДн
5.
Взаимодействие с субъектами ПДн
Постоянно
Работа с обращениями субъектов ПДн, ведение журналов учета передачи персональных данных, обращений субъектов ПДн, уведомление субъектов ПДн об уничтожении, изменении, прекращении обработки, устранении нарушений, допущенных при обработке ПДн, получении ПДн от третьих лиц
6.
Ведение журналов учета отчуждаемых электронных носителей персональных данных, средств защиты информации
Постоянно
7.
Повышение квалификации сотрудников в области защиты ПДн
Постоянно
Повышение квалификации сотрудников, ответственных за выполнение работ – не менее раза в три года, повышение осведомленности сотрудников – постоянно (данное обучение проводит ответственный за обеспечение безопасности ПДн в ИС)
8.
Инвентаризация информационных ресурсов
Раз в полгода
Проводится с целью выявления в информационных ресурсах присутствия ПДн
9.
Установка сроков обработки ПДн и процедуры их уничтожения по окончании срока обработки
При необходимости
Для ПДн Оператором устанавливаются сроки обработки ПДн, которые документально подтверждаются в нормативных документах Оператора. При пересмотре сроков необходимые изменения вносятся в соответствующие документы
10.
Уничтожение электронных (бумажных) носителей информации при достижении целей обработки ПДн
При необходимости
Уничтожение электронных (бумажных) носителей информации при достижении целей обработки ПДн производится с оформлением Акта на списание и уничтожение электронных (бумажных) носителей информации. Форма соответствующего акта приведена в Приказе «Об утверждении форм документов, необходимых в целях выполнения требований законодательства в области персональных данных»
11.
Определение уровня защищенности ПДн при их обработке в ИС
При необходимости
Определение уровня защищенности ПДн при их обработке в ИС осуществляется при создании ИС, при изменении состава ПДн, объема обрабатываемых ПДн, субъектов ПДн
12.
Выявление угроз безопасности и разработка моделей угроз и нарушителя
При необходимости
Разрабатывается при создании системы защиты ИС
13.
Аттестация (сертификация) СЗПДн или декларирование соответствия по требованиям безопасности ПДн
При необходимости
Проводится совместно с лицензиатами ФСТЭК
14.
Эксплуатация ИС и контроль безопасности ПДн
Постоянно
15.
Понижение требований по защите ПДн путем сегментирования ИС, отключения от сетей общего пользования, обеспечения обмена между ИС с помощью сменных носителей, создания автономных ИС на выделенных АРМ и прочих доступных мер
При необходимости
В случае создания ИС, а также приведения имеющихся ИС в соответствии с требованиями закона
Приложение № 2
к Положению по организации
и проведению работ по обеспечению
безопасности персональных данных
при их обработке в информационных
системах Управления по ГО, ЧС и ПБ
Республики Хакасия
ПЛАН
внутренних проверок режима защиты персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия
№
Мероприятие
Периодичность
Дата, подпись исполнителя
1.
Контроль соблюдения правил обработки ПДн
Ежемесячно
2.
Проведение внутренних проверок на предмет выявления изменений в правилах обработки и защиты ПДн
Ежегодно
3.
Контроль соблюдения режима парольной защиты
Ежемесячно
4.
Контроль выполнения антивирусной защиты
Еженедельно
5.
Контроль соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена
Еженедельно
6.
Контроль за обновлениями программного обеспечения и единообразия применяемого ПОна всех элементах ИС
Еженедельно
7.
Контроль за обеспечением резервного копирования
Ежемесячно
8.
Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а также предсказание появления новых, еще неизвестных, угроз
Ежегодно
9.
Поддержание в актуальном состоянии нормативно-организационных документов
Ежеквартально
10.
Контроль за разработкой и внесением изменений в программное обеспечение собственной разработки или штатное ПО, специально дорабатываемое собственными разработчиками или сторонними организациями (при наличии)
Ежемесячно
11.
Тестирование всех функций СЗИ НСД с помощью специальных программных средств
Ежегодно
Приложение № 2
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПРАВИЛА
обработки персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациями пожарной безопасности Республики Хакасия
1. Общие положения
1.1. Настоящие Правила обработки персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Правила) устанавливают единый порядок обработки персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Управление).
1.2. Обработка персональных данных в Управлении осуществляется в соответствии с Трудовым кодексом Российской Федерации, Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных», от 27.05.2003 № «О системе государственной службы Российской Федерации», от 27.07.2004 № «О государственной гражданской службе Российской Федерации», от 25.12.2008 № «О противодействии коррупции», от 02.05.2006 № «О порядке рассмотрения обращений граждан Российской Федерации», Указами Президента Российской Федерации от 01.02.2005 № 112 «О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации», от 30.05.2005 № «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела», Постановлениями Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 21.03.2012 № «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», распоряжением Правительства Российской Федерации от 26.05.2005 № 667-р «Об утверждении формы анкеты, подлежащей представлению в государственный орган гражданином Российской Федерации, изъявившим желание участвовать в конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации».
1.3. Обработка персональных данных Управлением осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.
1.4. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ).
1.5. Целью настоящих Правил является обеспечение защиты персональных данных государственных гражданских служащих, граждан, претендующих на замещение должностей государственной гражданской службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Республики Хакасия (далее - работники), от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
1.6. Настоящие Правила устанавливают и определяют:
1) процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
2) цели обработки персональных данных;
3) условия и порядок обработки персональных данных для каждой категории субъектов, данные которых обрабатываются;
4) категории субъектов, персональные данные которых обрабатываются;
5) сроки обработки и хранения обрабатываемых персональных данных;
6) порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований.
1.7. Основные условия обработки персональных данных:
1.7.1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:
1) после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных пунктами 2 - 7, 9 - 11 части 1 статьи 6 Федерального закона № 152-ФЗ;
2) после направления уведомления об обработке персональных данных в Енисейское управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона № 152-ФЗ.
1.7.2. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации в порядке, установленном в Управлении.
2. Процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных
2.1. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации:
2.1.1. Информационные ресурсы, содержащие персональные данные, созданные, приобретенные, накопленные в Управлении, а также полученные путем иных установленных законом способов, являются собственностью Управления и не могут быть использованы иначе как в установленных законом случаях или с разрешения начальника Управления.
2.1.2. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, относятся:
назначение ответственного за организацию обработки персональных данных в Управлении;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона № 152-ФЗ;
осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами;
запрет на обработку персональных данных лицами, не допущенными к их обработке;
запрет на обработку персональных данных под диктовку.
2.1.3. Документы, определяющие политику в отношении обработки персональных данных, подлежат обязательному опубликованию на официальном портале исполнительных органов государственной власти Республики Хакасия на странице Управления в течение 10 дней после их утверждения.
2.1.4. За разглашение информации, содержащей персональные данные, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение режима защиты, обработки и порядка использования этой информации гражданский служащий и работник Управления могут быть привлечены к дисциплинарной или иной ответственности, предусмотренной действующим законодательством.
2.2. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации:
2.2.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации Управления осуществляется в соответствии с требованиями Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
2.2.2. При эксплуатации автоматизированных информационных систем необходимо соблюдать следующие требования:
к работе допускаются только лица, назначенные соответствующим приказом Управления;
на персональных электронных вычислительных машинах (далее - ПЭВМ), дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
на период обработки защищаемой информации в помещении могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации;
допуск других лиц в указанный период может осуществляться с разрешения начальника Управления или его заместителя, отвечающего за защиту информации в Управлении.
2.2.3. Начальники структурных подразделений Управления, гражданские служащие и работники Управления, осуществляющие обработку персональных данных (далее - пользователи), обязаны контролировать и выполнять предусмотренные в Управлении меры по защите информации, содержащей персональные данные.
2.2.4. Начальники структурных подразделений Управления обязаны:
участвовать в подготовке перечня персональных данных, обрабатываемых на ПЭВМ подразделения;
готовить к утверждению списки гражданских служащих и работников, которых по своим должностным обязанностям необходимо допустить к работе с персональными данными в информационной системе Управления;
контролировать целевое использование работниками ресурсов сети «Интернет»;
контролировать выполнение пользователями общих правил работы на ПЭВМ и в локальной вычислительной сети Управления (далее - ЛВС);
выборочно контролировать характер исходящей информации, направляемой пользователями по электронной почте другим адресатам, и принимать оперативные меры к соблюдению ими установленных требований по защите персональных данных;
при обнаружении нарушений установленных требований по защите персональных данных, в результате которых вскрыты факты их разглашения, прекратить работы на рабочем месте, где обнаружены нарушения, доложить начальнику Управления и поставить в известность администратора информационной безопасности в информационных системах Управления;
назначать служебные расследования по фактам разглашения информации, содержащей персональные данные, или утери документов, содержащих такую информацию, по фактам нарушений пользователями правил, установленных для работы с персональными данными в ЛВС, а также нарушений требований по защите информации;
обеспечивать условия для работы администратора информационной безопасности Управления при проверке в подразделении эффективности предусмотренных мер защиты информации;
определять порядок передачи информации, содержащей персональные данные, другим структурным подразделениям Управления, сторонним организациям и органам.
2.2.5. При приеме на работу государственный гражданский служащий, работник предупреждаются об ответственности за разглашение сведений, содержащих персональные данные, которые станут ему известными в связи с предстоящим выполнением своих служебных обязанностей.
2.2.6. Пользователь обязан:
знать правила работы в ЛВС и принятые меры по защите ресурсов ЛВС (в части, его касающейся);
при работе на своей рабочей станции (ПЭВМ) и в ЛВС выполнять только служебные задания;
перед началом работы на ПЭВМ проверить свои рабочие папки на жестком магнитном диске, съемные магнитные носители информации на отсутствие вирусов с помощью штатных средств антивирусной защиты, убедиться в исправности своей рабочей станции;
при сообщениях программ о появлении вирусов немедленно прекратить работу, доложить администратору информационной безопасности информационных систем Управления (далее - Администратор ИБ) и своему непосредственному начальнику;
при обработке информации, содержащей персональные данные, использовать только зарегистрированные в журналах учета Управления машинные носители информации;
при необходимости использования неучтенных магнитных носителей, прежде всего, провести проверку этих носителей на отсутствие вирусов;
выполнять предписания Администратора ИБ, ответственного за защиту информации в Управлении;
представлять для контроля свою рабочую станцию (ПЭВМ) Администратору ИБ;
сохранять в тайне свой индивидуальный пароль, периодически, но не реже чем один раз в полгода, изменять его и не сообщать другим лицам;
вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;
учет, размножение, обращение печатных материалов, содержащих персональные данные, проводить в соответствии с требованиями инструкции по делопроизводству и инструкции по работе с личными обращениями и запросами российских и иных граждан, в том числе юридических лиц, в Управлении;
при обнаружении различных неисправностей в работе компьютерной техники или ЛВС, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек, печатей), несоответствия номеров на аппаратных средствах сообщить Администратору ИБ и поставить в известность начальника структурного подразделения Управления.
Пользователю при работе запрещается:
играть в компьютерные игры;
приносить различные компьютерные программы и пытаться установить их на локальный диск компьютера без уведомления Администратора ИБ;
перенастраивать программное обеспечение компьютера;
самостоятельно вскрывать комплектующие рабочей станции (ПЭВМ);
запускать на своей рабочей станции (ПЭВМ) или другой рабочей станции сети любые системные или прикладные программы, кроме установленных Администратором ИБ;
изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;
оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации (при наличии), магнитные носители и распечатки, содержащие персональные данные;
допускать к подключенной в сеть рабочей станции (ПЭВМ) посторонних лиц;
производить копирование для временного хранения информации, содержащей персональные данные, на неучтенные носители;
работать на рабочей станции (ПЭВМ) в сети с информацией, содержащей персональные данные, при обнаружении неисправностей станции (ПЭВМ), влияющих на защиту информации;
умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к утечке, блокированию, искажению или утере информации, содержащей персональные данные;
отсылать по электронной почте информацию для решения личных проблем, а также информацию по просьбе третьих лиц без согласования с начальником структурного подразделения Управления;
запрашивать и получать из сети «Интернет» материалы развлекательного характера (игры, клипы и другое);
запрашивать и получать из сети «Интернет» программные продукты, кроме случаев, связанных со служебной необходимостью. При этом необходимо согласование с начальником структурного подразделения Управления и обеспечение процесса Администратором ИБ.
2.2.7. Гражданские служащие и работники не могут использовать в личных целях персональные данные, ставшие известными им вследствие выполнения служебных обязанностей.
2.3. Порядок обработки персональных данных без использования средств автоматизации:
2.3.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
2.3.2. При неавтоматизированной обработке персональных данных на бумажных носителях:
не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
персональные данные должны обособляться от иной информации, в частности, путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
2.3.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных (при необходимости получения письменного согласия на обработку персональных данных);
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
2.3.4. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
2.3.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
2.3.6. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
2.3.7. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
2.3.8. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
2.3.9. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
3. Цели обработки персональных данных
3.1. Целью обработки персональных данных является организация деятельности Управления для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, обучение, продвижение по службе, права на пенсионное обеспечение и медицинское страхование государственных гражданских служащих и работников.
4. Категории субъектов, персональные данные которых обрабатываются
4.1. К субъектам, персональные данные которых обрабатываются, относятся:
1) граждане, обратившиеся в Управление с жалобами, заявлениями и по другим вопросам, касающимся установленной сферы деятельности;
2) граждане, претендующие на замещение должности государственной гражданской службы и должности, не являющиеся должностями государственной гражданской службы в Управлении, родственники указанных лиц;
3) граждане, представившие сведения Управлению для участия в конкурсе на формирование кадрового резерва Управления, состоящие в кадровом резерве Управления, родственники указанных лиц;
4) граждане, замещающие (замещавшие) должности государственной гражданской службы и должности, не являющиеся должностями государственной гражданской службы в Управлении, родственники указанных лиц;
5) индивидуальные предприниматели, представители органов местного самоуправления и юридических лиц, создающие силы и средства для предупреждения и ликвидации чрезвычайных ситуаций, и иные индивидуальные предприниматели и представители юридических лиц, у которых возможно возникновение чрезвычайных ситуаций, предоставившие Управлению свои персональные данные для осуществления регионального государственного надзора в области защиты населения и территорий от чрезвычайных ситуаций (далее - региональный государственный надзор).
5. Условия и порядок обработки персональных данных государственных гражданских служащих Управления
5.1. Персональные данные гражданских служащих Управления, граждан, претендующих на замещение должностей государственной гражданской службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия государственным служащим Управления в прохождении государственной службы, формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, учета результатов исполнения гражданскими служащими Управления должностных обязанностей, обеспечения личной безопасности государственных служащих Управления, обеспечения гражданским служащим Управления установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.
5.2. В целях, указанных в пункте 5.1 настоящих Правил, обрабатываются следующие категории персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной гражданской службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления:
5.2.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения).
5.2.2. Число, месяц, год рождения.
5.2.3. Место рождения.
5.2.4. Информация о гражданстве (в том числе предыдущие гражданства, иные гражданства).
5.2.5. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи.
5.2.6. Адрес места жительства (адрес регистрации, фактического проживания).
5.2.7. Номер контактного телефона или сведения о других способах связи.
5.2.8. Реквизиты страхового свидетельства государственного пенсионного страхования.
5.2.9. Идентификационный номер налогоплательщика.
5.2.10. Реквизиты страхового медицинского полиса обязательного медицинского страхования.
5.2.11. Реквизиты свидетельства государственной регистрации актов гражданского состояния.
5.2.12. Семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших).
5.2.13. Сведения о трудовой деятельности.
5.2.14. Сведения о воинском учете и реквизиты документов воинского учета.
5.2.15. Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании).
5.2.16. Сведения об ученой степени.
5.2.17. Информация о владении иностранными языками, степень владения.
5.2.18. Медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению.
5.2.19. Фотография.
5.2.20. Сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы.
5.2.21. Информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту.
5.2.22. Сведения о пребывании за границей.
5.2.23. Информация о классном чине государственной гражданской службы Российской Федерации, квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы).
5.2.24. Информация о наличии или отсутствии судимости.
5.2.25. Информация об оформленных допусках к государственной тайне.
5.2.26. Государственные награды, иные награды и знаки отличия.
5.2.27. Сведения о профессиональной переподготовке и (или) повышении квалификации.
5.2.28. Информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания.
5.2.29. Сведения о доходах, об имуществе и обязательствах имущественного характера.
5.2.30. Номер расчетного счета.
5.2.31. Номер банковской карты.
5.2.32. Иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 5.1 настоящих Правил.
5.3. Обработка персональных данных и биометрических персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 5.1 настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона № 152-ФЗ и положениями иных федеральных законов.
5.4. Обработка специальных категорий персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 5.1 настоящих Правил, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона № 152-ФЗ и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны.
5.5. Обработка персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, осуществляется при условии получения согласия указанных лиц в следующих случаях:
1) передачи (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о государственной гражданской службе;
2) трансграничной передачи персональных данных;
3) принятия решений, порождающих юридические последствия в отношении указанных лиц или иным, образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
5.6. В случаях, предусмотренных пунктом 5.5 настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом № 152-ФЗ.
5.7. Обработка персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, осуществляется специалистом отделения по правовому обеспечению и кадровой работе Управления (далее - специалист по кадровой работе) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, осуществляется путем:
1) получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые специалисту по кадровой работе Управления);
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе кадровой работы;
5) внесения персональных данных в информационную систему Управления, используемую специалистом по кадровой работе Управления.
5.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления.
5.10. В случае возникновения необходимости получения персональных данных государственного гражданского служащего Управления у третьей стороны следует известить об этом гражданского служащего заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.
5.11. Запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего Управления персональные данные, не предусмотренные пунктом 5.2 настоящих Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
5.12. При сборе персональных данных специалист по кадровой работе Управления, осуществляющий сбор (получение) персональных данных непосредственно от гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
5.13. Передача (распространение, предоставление) и использование персональных данных гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
5.14. Гражданские служащие Управления, граждане, претендующие на замещение должностей государственной гражданской службы Управления, граждане, представившие сведения для участия в кадровом резерве Управления и состоящие в кадровом резерве Управления, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения Управления, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Управлением или на основании законодательства;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных.
5.15. Право гражданских служащих Управления, граждан, претендующих на замещение должностей государственной службы Управления, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, на доступ к их персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона № 152-ФЗ.
5.16. Гражданские служащие Управления, граждане, претендующие на замещение должностей государственной службы Управления, граждане, представившие сведения для участия в кадровом резерве Управления и состоящие в кадровом резерве Управления, вправе требовать от Управления уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.17. Сведения о персональных данных должны быть предоставлены гражданским служащим Управления, гражданам, претендующим на замещение должностей государственной службы Управления, гражданам, представившим сведения для участия в кадровом резерве Управления и состоящим в кадровом резерве Управления, в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
5.18. Если гражданские служащие Управления, граждане, претендующие на замещение должностей государственной службы Управления, граждане, представившие сведения для участия в кадровом резерве Управления и состоящие в кадровом резерве Управления, считают, что Управление осуществляет обработку их персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает их права и свободы, они вправе обжаловать действия или бездействие Управления в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
5.19. Гражданские служащие Управления, граждане, претендующие на замещение должностей государственной службы Управления, граждане, представившие сведения для участия в кадровом резерве Управления и состоящие в кадровом резерве Управления имеют право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.20. Гражданские служащие Управления, граждане, претендующие на замещение должностей государственной службы Управления, граждане, представившие сведения для участия в кадровом резерве Управления и состоящие в кадровом резерве Управления, обязаны:
1) передавать Управлению комплекс достоверных, документированных персональных данных, состав которых установлен законодательством;
2) своевременно сообщать уполномоченным Управления лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных об изменении своих персональных данных.
5.21. В целях защиты частной жизни, личной и семейной тайны гражданские служащие Управления, граждане, претендующие на замещение должностей государственной службы Управления, граждане, представившие сведения для участия в кадровом резерве Управления и состоящие в кадровом резерве Управления, не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.
6. Условия и порядок обработки персональных данных работников, замещающих должности, не являющиеся должностями государственной гражданской службы
6.1. Персональные данные работников, замещающих должности, не являющиеся должностями государственной гражданской службы Управления (далее - работники Управления), обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия работникам Управления в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников Управления, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, обеспечения работникам Управления установленных Трудовым кодексом Российской Федерации, законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.
6.2. В целях, указанных в пункте 6.1 настоящих Правил, обрабатываются следующие категории персональных данных работников Управления:
1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
6) адрес места жительства (адрес регистрации, фактического проживания);
7) номер контактного телефона или сведения о других способах связи;
8) реквизиты страхового свидетельства государственного пенсионного страхования;
9) идентификационный номер налогоплательщика;
10) реквизиты страхового медицинского полиса обязательного медицинского страхования;
11) реквизиты свидетельства государственной регистрации актов гражданского состояния;
12) семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
13) сведения о трудовой деятельности;
14) сведения о воинском учете и реквизиты документов воинского учета;
15) сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
16) сведения об ученой степени;
17) информация о владении иностранными языками, степень владения;
18) фотография;
19) сведения о трудовой деятельности, в том числе: дата приема, перевода, перемещения на иную должность, наименование замещаемых должностей с указанием структурных подразделений, размера заработной платы, результатов аттестации на соответствие замещаемой должности, а также сведения о прежнем месте работы;
20) информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору;
21) сведения о пребывании за границей;
22) информация об оформленных допусках к государственной тайне;
23) государственные награды, иные награды и знаки отличия;
24) сведения о профессиональной переподготовке и (или) повышении квалификации;
25) информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;
26) номер расчетного счета;
27) номер банковской карты;
28) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 6.1 настоящих Правил.
6.3. Обработка персональных данных и биометрических персональных данных работников Управления осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 6.1 настоящих Правил, в соответствии с пунктом 2 части статьи 6 и частью 2 статьи 11 Федерального закона № 152-ФЗ, Трудовым кодексом Российской Федерации, положениями Федерального закона от 25.12.2008 № 273-ФЗ «О противодействии коррупции».
6.4. Обработка специальных категорий персональных данных работников Управления осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 6.1 настоящих Правил, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона № 152-ФЗ и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны.
6.5. Обработка персональных данных работников Управления осуществляется при условии получения согласия указанных лиц в следующих случаях:
1) трансграничной передачи персональных данных;
2) принятия решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
6.6. В случаях, предусмотренных пунктом 6.4 настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом № 152-ФЗ.
6.7. Обработка персональных данных работников Управления осуществляется специалистом по кадровой работе Управления и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников Управления, осуществляется путем:
1) получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые специалисту по кадровой работе Управления);
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе кадровой работы;
5) внесения персональных данных в информационную систему Управления, используемые специалистом по кадровой работе Управления;
6) сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от работников Управления.
6.9. В случае возникновения необходимости получения персональных данных работника Управления у третьей стороны, необходимо известить об этом работника заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.
6.10. Запрещается получать, обрабатывать и приобщать к личному делу работника Управления персональные данные, не предусмотренные пунктом 6.2 настоящих Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
6.11. При сборе персональных данных специалист по кадровой работе Управления, осуществляющий сбор (получение) персональных данных непосредственно от работников Управления, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
6.12. Передача (распространение, предоставление) и использование персональных данных работников Управления осуществляются лишь в случаях и в порядке, предусмотренных федеральными законами.
6.13. В целях обеспечения защиты персональных данных, хранящихся у оператора, работники Управления имеют право на:
1) полную информацию о своих персональных данных и обработке этих персональных данных;
2) свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
3) определение своих представителей для защиты своих персональных данных;
4) доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
5) требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона. При отказе оператора исключить или исправить персональные данные работника он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
6) требование об извещении оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех производственных в них исключениях, исправлениях и дополнениях;
7) обжалование в суд любых неправомерных действий или бездействия оператора при обработке и защите его персональных данных.
6.14. Работники Управления обязаны:
1) передавать Управлению комплекс достоверных, документированных персональных данных, состав которых установлен законодательством;
2) своевременно сообщать уполномоченным Управления лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных об изменении своих персональных данных;
3) в целях защиты частной жизни, личной и семейной тайны работники Управления не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.
7. Условия и порядок обработки персональных данных граждан, обратившихся с жалобами, заявлениями и по другим вопросам, в установленных сферах деятельности
7.1. Управлением осуществляется обработка персональных данных граждан, обратившихся с жалобами, заявлениями и по другим вопросам, относящимся к компетенции Управления, в целях обеспечения своевременного и в полном объеме рассмотрения устных и письменных обращений граждан.
7.2. Персональные данные граждан, обратившихся в Управление лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.
В соответствии с законодательством Российской Федерации в Управлении подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.
7.3. В рамках рассмотрения обращений граждан подлежат обработке следующие персональные данные заявителей:
1) фамилия, имя, отчество (последнее при наличии);
2) почтовый адрес;
3) адрес электронной почты;
4) указанный в обращении контактный телефон;
5) иные персональные данные, указанные заявителем в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
7.4. Обработка персональных данных, указанных в пункте 7.1 настоящих Правил, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона № 152-ФЗ, положениями Федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
7.5. Обработка персональных данных граждан, обратившихся с заявлениями и жалобами в Управление, осуществляется структурными подразделениями Управления и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
7.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных граждан, обратившихся с заявлениями и жалобами в Управление, осуществляются путем:
1) получения оригиналов необходимых документов (заявление);
2) заверения копий документов.
7.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от граждан, обратившихся с заявлениями и жалобами в Управление.
7.8. При подготовке ответа гражданам, обратившимся с заявлениями и жалобами в Управление, запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.
7.9. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Управления, осуществляющее получение персональных данных непосредственно от граждан, обратившихся с заявлениями и жалобами в Управление, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
7.10. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) Управлением осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
7.11. При рассмотрении обращения не допускается разглашение сведений, содержащихся в обращении, а также сведений, касающихся частной жизни гражданина, без его согласия. Не является разглашением сведений, содержащихся в обращении, направление письменного обращения в Управление, в компетенцию которого входит решение поставленных в обращении вопросов.
7.12. При рассмотрении обращения Управлением, его должностным лицом гражданин имеет право:
1) представлять дополнительные документы и материалы либо обращаться с просьбой об их истребовании, в том числе в электронной форме;
2) знакомиться с документами и материалами, касающимися рассмотрения обращения, если это не затрагивает права, свободы и законные интересы других лиц и если в указанных документах и материалах не содержатся сведения, составляющие государственную или иную охраняемую федеральным законом тайну;
3) получать письменный ответ по существу поставленных в обращении вопросов, за исключением случаев, указанных в статье 11 Федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», уведомление о переадресации письменного обращения в государственный орган, орган местного самоуправления или должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов;
4) обращаться с жалобой на принятое по обращению решение или на действие (бездействие) в связи с рассмотрением обращения в административном и (или) судебном порядке в соответствии с законодательством Российской Федерации;
5) обращаться с заявлением о прекращении рассмотрения обращения.
8. Условия и порядок обработки персональных данных субъектов в связи с осуществлением регионального государственного надзора в области защиты населения и территорий от чрезвычайных ситуаций
8.1. В целях осуществления регионального государственного надзора Управлением могут обрабатываться следующие персональные данные:
1) фамилия, имя, отчество (последнее при наличии);
2) адрес электронной почты;
3) контактный телефон;
4) сведения о повышении квалификации в области защиты населения и территорий от чрезвычайных ситуаций;
5) иные персональные данные, ставшие известными в ходе осуществления регионального государственного надзора.
8.2. Обработка персональных данных, необходимых в связи с осуществлением регионального государственного надзора, указанных в пункте 8.1 настоящих Правил, осуществляется отделом государственного надзора в области защиты населения и территорий от чрезвычайных ситуаций Управления и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
8.3. Сбор, запись, систематизация, накопление, хранение и уточнение (обновление, изменение) в целях осуществления регионального государственного надзора осуществляются путем:
1) заверения копий документов;
2) внесения сведений в учетные формы (на бумажных и электронных носителях).
8.4. Сбор, запись, систематизация, накопление, хранение и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от представителей органов местного самоуправления, индивидуальных предпринимателей и юридических лиц, предоставивших Управлению свои персональные данные для осуществления регионального государственного надзора.
8.5. При осуществлении регионального государственного надзора запрещается запрашивать персональные данные, не предусмотренные законодательством Российской Федерации.
8.6. При сборе персональных данных уполномоченное должностное лицо отдела государственного надзора в области защиты населения и территорий от чрезвычайных ситуаций Управления, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, в связи с осуществлением регионального государственного надзора, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
8.7. Передача (распространение, представление) и использование персональных данных индивидуальных предпринимателей и юридических лиц осуществляются лишь в случаях и в порядке, предусмотренных федеральными законами.
9. Сроки обработки и хранения обрабатываемых персональных данных
9.1. Сроки обработки и хранения персональных данных гражданских служащих, работников, граждан, претендующих на замещение должностей гражданской службы, граждан, представивших сведения для участия в кадровом резерве Управления и состоящих в кадровом резерве Управления, определяются в соответствии с требованиями законодательства Российской Федерации.
9.2. С учетом положений законодательства Российской Федерации устанавливаются следующие сроки обработки и хранения персональных данных:
9.2.1. Персональные данные, содержащиеся в приказах по личному составу гражданских служащих и работников Управления (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в кадровом подразделении Управления в течение двух лет с последующим формированием и передачей указанных документов в архив Управления или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
9.2.2. Персональные данные, содержащиеся в личных делах гражданских служащих и работников Управления, а также личных карточках государственных служащих и работников Управления, хранятся в кадровом подразделении Управления в течение десяти лет с последующим формированием и передачей указанных документов в архив Управления или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
9.2.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи гражданских служащих и работников Управления, подлежат хранению в течение двух лет в кадровом подразделении Управления с последующим формированием и передачей указанных документов в архив Управления или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
9.2.4. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях гражданских служащих и работников Управления, подлежат хранению в кадровом подразделении Управления в течение пяти лет с последующим уничтожением.
9.2.5. Персональные данные, содержащиеся в документах претендентов на замещение вакантной должности государственной гражданской службы в Управление, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в кадровом подразделении Управления в течение трех лет со дня завершения конкурса, после чего подлежат уничтожению.
9.2.6. Персональные данные, содержащиеся в документах претендентов на участие в конкурсе на формирование кадрового резерва и документах гражданских служащих и граждан, состоящих в кадровом резерве, хранятся в кадровом подразделении Управления в течение трех лет со дня завершения конкурса или исключения из кадрового резерва, после чего подлежат уничтожению.
9.2.7. Персональные данные граждан, обратившихся в Управление лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет, после чего уничтожаются.
9.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
9.4. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами.
9.5. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют начальники структурных подразделений Управления.
10. Порядок уничтожения обработанных персональных данных
10.1. Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
10.2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
10.3. Уничтожению подлежат утратившие практическое значение и не имеющие исторической или иной ценности носители информации, содержащие персональные данные. При уничтожении таких носителей должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
10.4. Уничтожение производится путем сожжения, расплавления, дробления, растворения, химического разложения или превращения в мягкую бесформенную массу или порошок. Допускается уничтожение документов путем измельчения в бумажную сечку. Магнитные и фотографические носители уничтожаются сожжением, дроблением, расплавлением и другими способами, исключающими возможность их восстановления.
10.5. Уничтожение обработанных персональных данных производится комиссионно, с составлением соответствующего акта. Состав комиссии назначается приказом начальника Управления. В комиссию назначаются лица, допущенные к работе с персональными данными и являющиеся экспертами в различных сферах деятельности Управления, имеющие непосредственное отношение к уничтожаемым материалам.
10.6. На документальные материалы, отобранные комиссией для уничтожения, составляется акт об уничтожении документов, который подписывается членами комиссии и утверждается начальником Управления.
10.7. Отобранные и включенные в акт об уничтожении документальные материалы после их сверки членами комиссии хранятся отдельно от других материалов.
10.8. Уничтожение документальных материалов до утверждения акта об уничтожении документов начальником Управления запрещается.
10.9. Уничтожение должно производиться в возможно короткий срок после утверждения начальником Управления акта об уничтожении документов.
10.10. Без оформления акта уничтожаются: испорченные бумажные и технические носители, черновики и проекты документов и другие материалы, образовавшиеся при исполнении документов, содержащих персональные данные.
10.11. В процедуру уничтожения документов и носителей информации без составления акта входит проведение следующих мероприятий:
1) разрывание листов, разрушение магнитного или иного технического носителя в присутствии исполнителя и начальника структурного подразделения Управления, допущенных к обработке персональных данных;
2) накапливание остатков носителей в опечатываемом ящике (урне);
3) физическое уничтожение остатков носителей несколькими работниками структурного подразделения, допущенными к работе с персональными данными;
4) внесение отметок об уничтожении в учетные формы документов и носителей.
Приложение № 3
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПОРЯДОК
доступа государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Республики Хакасия, в помещения, в которых ведется обработка персональных данных
1. Настоящий Порядок доступа государственных гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Республики Хакасия, Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - соответственно работники, Управление), в помещения, в которых ведется обработка персональных данных, разработан в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлениями Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», от 21.03.2012 № «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
2. Персональные данные относятся к конфиденциальной информации. Гражданские служащие и работники Управления, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, достигается, в том числе установлением правил доступа в помещения, где обрабатываются персональные данные в информационных системах персональных данных и без использования средств автоматизации.
4. Размещение информационных систем, в которых обрабатываются персональные данные, осуществляется в охраняемых помещениях.
5. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
6. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
7. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только государственные гражданские служащие Управления, уполномоченные на обработку персональных данных установленным образом.
8. Ответственными за организацию доступа в помещения Управления, в которых ведется обработка персональных данных, являются начальники структурных подразделений Управления.
9. Нахождение лиц в помещениях Управления, не являющихся уполномоченными лицами на обработку персональных данных, возможно только в присутствии уполномоченного должностного лица Управления на время, ограниченное необходимостью решения вопросов, связанных с исполнением функций и (или) осуществлением полномочий структурного подразделения Управления.
Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится лицом, ответственным за обеспечения безопасности персональных данных.
Приложение № 4
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПЕРЕЧЕНЬ
должностей государственных гражданских служащих Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
№п/п
Структурное подразделение
Должность
1
Руководство
Начальник Управления
Заместитель начальника Управления - начальник отдела планирования мероприятий ГО, предупреждения и ликвидации ЧС
Заместитель начальника Управления - начальник отдела оперативного планирования и управления
2
Отделение по кадровой работе и профилактике коррупционных правонарушений
Ведущий советник
Советник
(строка 2 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
3
Отдел оперативного планирования и управления
Советник
4
Отдел государственного надзора в области защиты населения и территорий от чрезвычайных ситуаций
Начальник отдела
(строка 4 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
5
Отдел пожарной безопасности, учета сил и средств
Начальник отдела
Советник
6
Отдел подготовки, обучения населения и связей с общественностью
Начальник отдела
Советник
7
Отдел финансово-экономического обеспечения, государственных закупок и делопроизводства
Начальник отдела
Заместитель начальника отдела
(строка 7 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 5
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПЕРЕЧЕНЬ
лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
№п/п
Фамилия, имя, отчество
Должность
1
Федосова
Лариса Леонидовна
Ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
(строка 1 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
2
Качур Наталья Ивановна
Ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
(строка 2 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
3
Строка 3 исключена приказом Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41
4
Турлевский
Игорь Иванович
Советник отдела оперативного планирования и управления
5
Турлевская
Татьяна Васильевна
Советник отдела оперативного планирования и управления
Приложение № 6
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПЕРЕЧЕНЬ
лиц, доступ которых в помещения Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия, где ведется обработка персональных данных необходим для выполнения ими служебных (трудовых) обязанностей»
№п/п
Фамилия, имя, отчество
Должность
1
Старков
Николай Иванович
Начальник Управления
2
Петрук
Виталий Алексеевич
Заместитель начальника Управления - начальник отдела планирования мероприятий ГО, предупреждения и ликвидации ЧС
3
Карамашев
Владимир Васильевич
Заместитель начальника Управления - начальник отдела оперативного планирования и управления
4
Федосова
Лариса Леонидовна
Ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
(строка 4 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
5
Качур Наталья Ивановна
Советник отделения по кадровой работе и профилактике коррупционных правонарушений
(строка 5 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
6
Коконов
Денис Гариевич
Начальник отдела государственного надзора в области защиты населения и территорий от чрезвычайных ситуаций
7
Строка 7 исключена приказом Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41
8
Турлевский
Игорь Иванович
Советник отдела оперативного планирования и управления
9
Турлевская
Татьяна Васильевна
Советник отдела оперативного планирования и управления
10
Гараев
Сергей Александрович
Начальник отдела пожарной безопасности, учета сил и средств
11
Деревянчук
Анна Николаевна
Советник отдела пожарной безопасности, учета сил и средств
12
Ворошилов
Дмитрий Андреевич
Начальник отдела подготовки, обучения населения и связей с общественностью
13
Тинкова
Анна Николаевна
Советник отдела подготовки, обучения населения и связей с общественностью
14
Дозорец
Вера Николаевна
Начальник отдела финансово-экономического обеспечения, государственных закупок и делопроизводства
(строка 14 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
15
Рачеева Людмила Дмитриевна
Заместитель начальника отдела финансово-экономического обеспечения, государственных закупок и делопроизводства
(строка 15 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 7
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПЕРЕЧЕНЬ
мест хранения материальных носителей персональных данных
«
№
п/п
место хранения
наименование документа, содержащего персональные данные (материальный носитель)
ответственное лицо за доступ к месту хранения
1.
Отделение по кадровой работе и профилактике коррупционных правонарушений,
каб. № 12 (металлический сейф № 1)
Личные дела и трудовые книжки гражданских служащих и работников, замещающих должности, не являющиеся должностями государственной гражданской службы.
Журнал движения трудовых книжек.
Документы по воинскому учету и бронированию граждан.
Федосова Л.Л., ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
2.
Отделение по кадровой работе и профилактике коррупционных правонарушений,
каб. № 12 (металлический сейф № 2)
Архивные документы:
личные дела;
карточки Т-2, Т-2ГС на уволенных;
приказы по личному составу о приеме, увольнении, перемещении;
приказы по личному составу о поощрении, временном исполнении обязанностей, выплате процентных надбавок;
журналы регистрации приказов;
должностные регламенты, инструкции;
положения о структурных подразделениях.
Персональные личные дела, зачисленных в резерв кадров.
Федосова Л.Л., ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
3.
Отделение по кадровой работе и профилактике коррупционных правонарушений,
каб. № 12
(шкаф № 1)
Карточки Т-2, Т-2ГС на работающих.
Должностные регламенты, инструкции на работающих.
Положения о структурных подразделениях.
Приказы по личному составу о предоставлении отпусков, дисциплинарных взысканиях, служебных командировках.
Документы претендентов на замещение вакантных должностей и формирование кадрового резерва и зачисленных в резерв.
Протоколы заседаний комиссий о проведении конкурсов на замещение вакантных должностей и формирование кадрового резерва.
Тесты для проведения конкурсных испытаний.
Материалы служебных расследований.
Журналы прихода, расхода трудовых книжек.
Отчеты.
Документы по организации работы по обработке и защите персональных данных.
Документы временного хранения, утратившие силу:
протоколы заседаний на определение выслуги;
протоколы заседаний аттестационных и квалификационных комиссий;
переписка с Правительством Республики Хакасия, министерствами и ведомствами по кадровым вопросам; с военным комиссариатом;
графики предоставления отпусков;
документы претендентов для замещения вакантных должностей государственной гражданской службы и формирование кадрового резерва;
штатное расписание и изменения к нему (копии);
протоколы по оценке выполнения показателей эффективности деятельности и определению размера выплат стимулирующего характера руководителям подведомственных организаций;
документы ведомственного контроля по соблюдению трудового законодательства.
Федосова Л.Л., ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
4.
Отделение по кадровой работе и профилактике коррупционных правонарушений,
каб. № 12
(шкаф № 2)
Приказы по личному составу о приеме, увольнении, перемещении на работающих.
Приказы по личному составу о поощрении, временном исполнении обязанностей, выплате надбавок на работающих.
Приказы по личному составу о предоставлении отпусков (ежегодных, учебных, по беременности и родам, по уходу за ребенком до 1,5 - 3 лет), дисциплинарных взысканиях, служебных командировках на работающих.
Журналы регистрации приказов по личному составу.
Переписка с Правительством Республики Хакасия, министерствами и ведомствами по кадровым вопросам; переписка с военным комиссариатом.
Штатное расписание и изменения к нему (копии).
Документы по организации наставничества, испытания, установлению доплаты к государственной и/или трудовой пенсии, повышению квалификации работников. Наградные материалы.
Служебный распорядок для гражданских служащих и ПВТР для работников.
Журналы регистрации служебных контрактов, дополнительных соглашений, трудовых договоров, протоколов заседаний комиссий, выдачи служебных удостоверений, регистрации предложений и уведомлений
Федосова Л.Л., ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
5.
Приемная (шкаф)
Обращения граждан и ответы на них
Логинова М.С., главный эксперт отдела финансово-экономического обеспечения, государственных закупок и делопроизводства
»;
(таблица в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 8
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия
1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее – Правила) устанавливают порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее – Управление).
2. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом № 152-ФЗ.
4. Целью осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее – внутренний контроль) является обеспечение защиты персональных данных от несанкционированного доступа, неправомерного их использования или утраты, определение порядка и правил осуществления внутреннего контроля.
5. Внутренний контроль делится на текущий, плановый и внеплановый.
6. Текущий внутренний контроль осуществляется на постоянной основе ответственным за организацию обработки персональных данных в Управлении (далее – ответственный за организацию обработки) в ходе мероприятий по обработке персональных данных.
Ответственный за организацию обработки имеет право:
запрашивать у сотрудников Управления информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить начальнику Управления предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить начальнику Управления предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации о персональных данных.
7. Плановый внутренний контроль осуществляется комиссией, образуемой приказом начальника Управления, в состав которой входят работники Управления, допущенные к обработке персональных данных.
Плановый внутренний контроль соответствия обработки персональных данных установленным требованиям в Управлении проводится на основании утвержденного начальником Управления плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям, разрабатываемого председателем комиссии. Периодичность плановой проверки - не реже одного раза в год.
8. Внеплановый внутренний контроль может осуществляться на основании поступившего в Управление письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется председателем комиссии в течение 3 рабочих дней с момента поступления соответствующего заявления.
В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в её результатах.
9. При проведении внутреннего контроля ответственным за организацию обработки или комиссией должны быть полностью, объективно и всесторонне изучены:
наличие, учет, порядок хранения и обезличивания персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учёта ПЭВМ и съемных носителей информации, содержащей персональные данные;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
порядок проведения мероприятий и результаты по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
порядок проведения мероприятий по обеспечению целостности персональных данных.
10. В отношении персональных данных, ставших известными членам комиссии или ответственному за организацию обработки в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
11. Срок проведения плановой и внеплановой проверки не может составлять более 30 дней со дня принятия решения о её проведении.
12. Результаты внутреннего контроля оформляются в виде протокола проведения внутренней проверки (далее – протокол).
13. При выявлении в ходе внутреннего контроля нарушений ответственным за организацию обработки либо председателем комиссии в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.
14. Протоколы хранятся у ответственного за организацию обработки в течение текущего года. Уничтожение протоколов проводится ответственным за организацию обработки самостоятельно в январе года, следующего за проверочным годом
15. О результатах внутреннего контроля и мерах, необходимых для устранения нарушений, начальнику Управления докладывает ответственный за организацию обработки либо председатель комиссии.
Приложение № 1
к Правилам осуществления внутреннего
контроля соответствия обработки
персональных данных требованиям
к защите персональных данных, установленных
Федеральным законом «О персональных данных»,
принятыми в соответствии с ним нормативными
правовыми актами и локальными актами
Управления по ГО, ЧС и ПБ Республики Хакасия
СОСТАВ
комиссии по проведению внутреннего контроля соответствия обработки персональных данных в структурных подразделениях Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия требованиям к защите персональных данных
Петрук
Виталий Алексеевич
заместитель начальника Управления – начальник отдела планирования мероприятий ГО, предупреждения и ликвидации ЧС, председатель комиссии;
Федосова
Лариса Леонидовна
ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений, секретарь комиссии
Члены комиссии:
Турлевский
Игорь Иванович
советник отдела оперативного планирования и управления;
Турлевская
Татьяна Васильевна
советник отдела оперативного планирования и управления;
(приложение 1 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 9
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПРАВИЛА
рассмотрения запросов субъектов персональных данных или их представителей управлением по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия
1. Общие положения
1.1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей Управлением по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Правила) устанавливают единый порядок рассмотрения запросов субъектов персональных данных или их представителей в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Управление).
1.2. Рассмотрение запросов субъектов персональных данных или их представителей в Управлении осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
1.3. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом № 152-ФЗ.
1.4. Целью настоящих Правил является реализация прав субъекта персональных данных на получение информации, касающейся обработки его персональных данных в Управлении.
1.5. К субъектам, персональные данные которых обрабатываются, относятся:
1) граждане, обратившиеся в Управление с жалобами, заявлениями и по другим вопросам, касающимся установленной сферы деятельности;
2) граждане, претендующие на замещение должности государственной гражданской службы и работников, замещающих должности, не являющиеся должностями государственной гражданской службы Управления;
3) граждане, представившие сведения для участия в конкурсе на формирование кадрового резерва и состоящие в кадровом резерве Управления;
4) граждане, замещающие (замещавшие) должности государственной гражданской службы, и должности, не являющиеся должностями государственной гражданской службы Управления.
2. Права субъекта персональных данных
2.1. Право субъекта персональных данных на доступ к его персональным данным:
2.2. Субъект персональных данных имеет право на получение сведений, указанных в пункте 2.8, за исключением случаев, предусмотренных пунктом 2.9. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.3. Сведения, указанные в пункте 2.8, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.4. Сведения, указанные в пункте 2.8, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. В запросе указываются сведения о субъекте персональных данных или его представителе в соответствии с пунктом 3.2.
2.5. В случае, если сведения, указанные в пункте 2.8, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 2.8, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодно приобретателем или поручителем по которому является субъект персональных данных.
2.6. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 2.8, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 2.5, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 3.2, должен содержать обоснование направления повторного запроса.
2.7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 3.2 и 3.3 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
2.8. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
2.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
2.10. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2.11. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3. Порядок предоставления оператором сведений по запросу субъекта персональных данных
3.1. При обращении либо при получении запроса субъекта персональных данных или его представителя сведения должны быть предоставлены в доступной форме. Запрос регистрируется в день поступления по правилам делопроизводства.
3.2. Запрос субъекта персональных данных должен содержать сведения, позволяющие провести его идентификацию:
1) фамилию, имя, отчество субъекта персональных данных и его представителя;
2) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
3) сведения о дате выдачи указанного документа и выдавшем его органе;
4) сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
5) подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3.3. Оператор при получении запроса субъекта персональных данных или его представителя обязан сообщить в порядке статьи 14 Федерального закона № 152-ФЗ субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение 30 дней с даты получения запроса.
В случае отказа в предоставлении информации о наличии персональных данных, оператор обязан дать в письменной форме мотивированный ответ со ссылкой на действующее законодательство, являющееся основанием для такого отказа. Отказ в предоставлении информации направляется в срок, не превышающий 30 (тридцати) дней со дня получения запроса субъекта персональных данных.
3.4. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор в срок, не превышающий семи рабочих дней, вносит в них необходимые изменения. О внесенных изменениях уведомляется субъект персональных данных или его представитель.
3.5. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные в срок, не превышающий семи рабочих дней. Об уничтоженных персональных данных уведомляется субъект персональных данных или его представитель.
3.6. Возможность ознакомления с персональными данными предоставляется на безвозмездной основе лицом, ответственным за обработку персональных данных.
Приложение № 10
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПРАВИЛА
работы с обезличенными данными в Управлении по гражданской обороне, чрезвычайным ситуациями пожарной безопасности Республики Хакасия
1. Настоящие Правила работы с обезличенными данными в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Правила) устанавливают порядок проведения мероприятий в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее - Управление) по обезличиванию персональных данных, порядок и условия работы с обезличенными данными.
2. Обезличивание персональных данных и работа с обезличенными данными в Управлении осуществляются в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
4. Целью обезличивания персональных данных в Управлении является обеспечение защиты персональных данных граждан от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5. Обезличивание персональных данных может быть проведено для решения следующих задач:
1) получения статистических данных;
2) снижения ущерба от разглашения защищаемых персональных данных;
3) снижения класса используемых информационных систем персональных данных.
Кроме того, обезличивание персональных данных может быть проведено по достижении сроков обработки или в случае утраты необходимости в достижении целей обработки, если иное не предусмотрено законодательством Российской Федерации.
5.1. В случае достижения целей обработки персональных данных или в случае утраты необходимости в их достижении, работник Управления, обрабатывающий персональные данные, обязан:
1) незамедлительно прекратить обработку персональных данных;
2) обезличить соответствующие персональные данные в срок, не превышающий 30 дней с даты достижения целей обработки персональных данных или утраты необходимости достижения этих целей.
5.2. Персональные данные не обезличиваются в случаях, если:
1) договором (соглашением), стороной которого или поручителем, по которому является субъект персональных данных, предусмотрен иной порядок обработки персональных данных;
2) законодательством установлены сроки обязательного архивного хранения материальных носителей персональных данных;
3) в иных случаях, прямо предусмотренных законодательством.
5.3. В случае выявления недостоверности персональных данных, неправомерности действий с персональными данными, работник Управления, обрабатывающий персональные данные, обязан осуществить незамедлительное блокирование указанных персональных данных и в срок, не превышающий трех рабочих дней с даты такого выявления, устранить допущенные нарушения.
В случае подтверждения факта недостоверности персональных данных работник Управления, обрабатывающий персональные данные, уточняет персональные данные и снимает с них блокирование на основании документов, представленных:
1) субъектом персональных данных (его законным представителем);
2) уполномоченным органом по защите прав субъектов персональных данных;
3) иными лицами.
5.4. В случае невозможности устранения допущенных нарушений работник Управления, обрабатывающий персональные данные, в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с персональными данными, обезличивает персональные данные.
Об устранении допущенных нарушений или об обезличивании персональных данных работник Управления, обрабатывающий персональные данные, уведомляет субъекта персональных данных (его законного представителя) по формам уведомления об устранении допущенных нарушений или уведомления об уничтожении (приложения № 1 и 2 к настоящим Правилам) и (или) уполномоченный орган по защите прав субъектов персональных данных по формам уведомления об устранении допущенных нарушений или уведомления об уничтожении (приложения № 3 и 4 к настоящим Правилам).
5.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных работник Управления, обрабатывающий персональные данные, обязан прекратить обработку персональных данных и обезличить их в срок, не превышающий 30 рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством, договором или соглашением между Управлением и субъектом персональных данных. Об обезличивании персональных данных работник Управления, обрабатывающий персональные данные, уведомляет субъекта персональных данных (его законного представителя).
6. Способы обезличивания:
6.1. К способам обезличивания персональных данных при условии дальнейшей обработки персональных данных относятся:
1) уменьшение перечня обрабатываемых сведений, замена части сведений условными обозначениями, обобщение (понижение) точности некоторых сведений;
2) деление сведений на части и обработка их в разных информационных системах;
3) другие способы.
6.2. К способам обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей относятся:
1) сокращение перечня персональных данных;
2) уничтожение персональных данных.
6.3. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе (закрашиванием, вырезанием и другое).
7. Правила работы с обезличенными данными:
7.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
7.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
7.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо:
1) использование паролей;
2) использование антивирусных программ;
3) соблюдение правил доступа в помещения, в которых ведется обработка персональных данных.
7.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
1) хранения бумажных носителей в условиях, исключающих доступ к ним посторонних лиц;
2) соблюдение правил доступа в помещения, в которых ведется обработка персональных данных.
Приложение №1
к Правилам работы с
обезличенными данными в Управлении
УВЕДОМЛЕНИЕ
об устранении допущенных нарушений
Уважаемый(ая) _________________________________________________________
(фамилия, имя, отчество)
в связи с _____________________________________________________________
______________________________________________________________________
сообщаем Вам, что все допущенные нарушения при обработке Ваших
персональных данных устранены.
"_____" __________ 20__ г. _________ _____________________
(дата) (подпись) (расшифровка подписи)
Приложение № 2
к Правилам работы с
обезличенными данными в Управлении
УВЕДОМЛЕНИЕ
об уничтожении
Уважаемый(ая) _________________________________________________________
(фамилия, имя, отчество)
в связи с _____________________________________________________________
________________________________________________________________________________________________________________________________________________
сообщаем Вам, что Ваши персональные данные уничтожены.
"____" __________ 20__ г. _________ _____________________
(дата) (подпись) (расшифровка подписи)
Приложение № 3
к Правилам работы с
обезличенными данными в Управлении
УВЕДОМЛЕНИЕ
об устранении допущенных нарушений
Настоящим уведомлением сообщаем Вам, что допущенные нарушения при
обработке персональных данных, а именно ________________________________
_______________________________________________________________________
_______________________________________________________________________
(указать допущенные нарушения)
устранены.
"__" __________ 20__ г. _________ _____________________
(дата) (подпись) (расшифровка подписи)
Приложение № 4
к Правилам работы с
обезличенными данными в Управлении
УВЕДОМЛЕНИЕ
об уничтожении
Настоящим уведомлением сообщаем Вам, что в связи с ______________________
_______________________________________________________________________
персональные данные ___________________________________________________
_______________________________________________________________________
_______________________________________________________________________
(указать, чьи персональные данные)
уничтожены.
"__" __________ 20__ г. _________ _____________________
(дата) (подпись) (расшифровка подписи)
Приложение № 11
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПЕРЕЧЕНЬ
персональных данных в информационных системах Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия и подлежащих защите
Конфиденциальность персональных данных - обязательное для соблюдения сотрудниками Управления требование: не допускать распространения персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
Защищаемыми информационными ресурсами в информационной системе Управления являются:
1. ПДн, обрабатываемые в автоматизированном виде:
1.1. Персональные данные субъектов ПДн включают:
ФИО;
Дата рождения;
Контактный телефон;
Адрес прописки;
Адрес фактического проживания;
Паспортные данные;
Данные о месте рождения;
Данные о смерти;
Данные об усыновлении, установлении отцовства;
Данные о браке;
Данные об изменение имени, фамилии, отчества;
Данные о родственниках;
Гражданство;
Национальность;
Данные о состоянии здоровья.
1.2. Персональные данные сотрудников и работников Управления включают:
Фамилия, имя, отчество;
Место и дата рождения;
Гражданство;
Адрес по прописке;
Паспортные данные (серия, номер паспорта, кем и когда выдан), в том числе загранпаспорт;
Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, серия, дата выдачи, специальность, квалификация);
Информация о трудовой деятельности до приема на работу (место работы, должность, период работы, причины увольнения);
Информация о трудовом стаже;
Адрес проживания (фактический);
Телефонный номер (домашний, рабочий, мобильный);
Семейное положение и состав семьи (муж/жена, дети);
Информация о знании иностранных языков;
Допуск к государственной тайне;
Оклад, надбавки;
Отношение к судимости;
Пребывание за границей;
Сведения о доходах, имуществе, обязательствах имущественного характера своих, супруга и несовершеннолетних детей;
Данные о трудовом договоре (служебном контракте) (№ трудового договора (служебного контракта), дата его заключения, дата начала и дата окончания, вид работы, срок действия, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, должностные обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору (служебного контракта), характер работы, форма оплаты труда, категория персонала, условия труда, продолжительность рабочей (служебной) недели, система оплаты);
Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета, состав (профиль), ВУС, отношение к воинскому учету, бронирование);
ИНН;
СНИЛС;
Данные об аттестации работников;
Данные о повышении квалификации, профессиональная переподготовка;
Данные о наградах, медалях, поощрениях, почетных званиях;
Информация о приеме на работу, перемещении по должности, увольнении;
Информация об отпусках;
Информация о командировках;
Информация о состоянии здоровья, о временной нетрудоспособности;
Информация о медицинском страховании;
Информация о негосударственном пенсионном обеспечении.
1.3. В Управлении осуществляется неавтоматизированная обработка следующих ПДн:
ФИО;
Дата рождения;
Адрес по прописки;
Адрес фактического проживания;
Паспортные данные;
Данные о месте рождения;
Данные об изменение имени, фамилии, отчества;
Данные о родственниках;
Гражданство;
Данные о состоянии здоровья.
Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, серия, дата выдачи, специальность, квалификация);
Информация о трудовой деятельности до приема на работу (место работы, должность, период работы, причины увольнения);
Информация о трудовом стаже;
Телефонный номер (домашний, рабочий, мобильный);
Семейное положение и состав семьи (муж/жена, дети);
Информация о знании иностранных языков;
Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета, состав (профиль), ВУС, отношение к воинскому учету, бронирование);
ИНН;
СНИЛС;
Данные об аттестации работников;
Данные о повышении квалификации, профессиональная переподготовка;
Данные о наградах, медалях, поощрениях, почетных званиях;
Информация о приеме на работу, перемещении по должности, увольнении;
Информация об отпусках.
Приложение № 12
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
Перечень
общедоступных персональных данных в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия
1. Фамилия.
2. Имя.
3. Отчество.
4. Должность.
5. Контактная информация: служебный номер телефона, служебный адрес электронной почты.
Приложение № 13
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПЕРЕЧЕНЬ
Защищаемых данных в информационных системах Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия и подлежащих защите
защищаемыми информационными ресурсами в информационной системе Управления являются:
Данные, содержащиеся в информационной системе Управления, в том числе информация:
- ПДн государственных гражданских служащих;
- ПДн работников, замещающих должности, не являющиеся должностями государственной гражданской службы;
- ПДн граждан, представивших сведения для участия в конкурсе на формирование кадрового резерва Управления, в том числе состоящие в кадровой резерве Управления
Технологическая информация включает:
управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
сведения о проведенных служебных проверках, дисциплинарных взысканиях;
информация о квалификационных экзаменах;
сведения о кадровом резерве;
технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;
информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;
информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.
Программно-технические средства обработки включают в себя:
общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);
резервные копии общесистемного программного обеспечения;
инструментальные средства и утилиты систем управления ресурсами ИСПДн;
аппаратные средства обработки ПДн (АРМ и сервера);
сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).
Средства защиты данных состоят из аппаратно-программных средств, включают в себя:
средства управления и разграничения доступа пользователей;
средства обеспечения регистрации и учета действий с информацией;
средства, обеспечивающие целостность данных;
средства антивирусной защиты;
средства анализа защищенности;
средства обнаружения вторжений
средства межсетевого экранирования;
средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.
Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.
Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты. Данная информация является конфиденциальной, хотя, учитывая ее массовость и единое место обработки и хранения, соответствующий гриф ограничения на них не ставится.
В информационную систему могут включаться иные сведения, за исключением сведений, отнесенных к государственной тайне.
Приложение № 14
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
ПРАВИЛА
ведения журналов в части защиты информации
1. Настоящие Правила устанавливают порядок ведения и хранения специальных журналов в части защиты информации
2. При осуществлении видов деятельности, связанных с обеспечением безопасности защищаемой информации, любые операции, в результате которых изменяется уровень и класс защищенности информации, подлежат занесению в соответствующий журнал.
3. Руководитель Управления назначает лиц, ответственных за ведение и хранение журналов.
4. Записи в журналах регистрации производятся лицом, ответственным за их ведение и хранение, шариковой ручкой (чернилами) с периодичностью, устанавливаемой руководителем Управления, но не реже одного раза в течение дня совершения операций с защищаемыми данными на основании документов, подтверждающих совершение этих операций.
5. Каждый журнал на первой странице обложки должен иметь следующую информацию:
название журнала;
ответственный за ведение журнала;
дата начала ведения журнала;
дата окончания ведения журнала;
место хранения в процессе работы;
срок архивного хранения;
место архивного хранения.
6. Страницы журнала должны быть пронумерованы.
7. Журналы должны быть сброшюрованы, пронумерованы и скреплены подписью руководителя Управления и печатью Управления.
8. Записи должны вестись последовательно, не допускается делать записи справа или слева от уже сделанных записей.
9. Запрещается оставлять свободное место на страницах так, чтобы верхняя часть страницы была свободна, а внизу были сделаны записи.
10. Нумерация записей в журналах осуществляется в пределах календарного года в порядке возрастания номеров. Нумерация записей в новых журналах регистрации начинается с номера, следующего за последним номером в заполненных журналах.
11. Не использованные в текущем календарном году страницы журналов прочеркиваются и не используются в следующем календарном году.
12. Если в процессе ведения записей возникают записи на отдельных листах, эти листы, а так же документы или их копии, подтверждающие совершение операции с защищаемой информацией, должны быть подшиты или вклеены в журнал. Допускается подшить такие записи и документы в отдельную папку, которая хранится вместе с соответствующим журналом.
13. Запись в журналах каждой проведенной операции заверяется подписью лица, ответственного за их ведение и хранение, с указанием фамилии и инициалов.
14. Запрещается вносить записи карандашом и использовать замазку. Если запись сделана ошибочно, необходимо зачеркнуть ее так, чтобы была видна ошибочно сделанная запись, рядом внести правильную запись. Если ошибка была допущена при записи итоговых результатов, рядом с правильной записью необходимо поставить дату и подпись. Если записи были сделаны так, что места для внесения правильной записи нет, ошибочную запись необходимо зачеркнуть, выделить маркером, поставить рядом значок «*» и внести правильную запись в конце текущей записи.
15. Исправления в журналах заверяются подписью лица, ответственного за их ведение и хранение. Подчистки и незаверенные исправления в журналах регистрации не допускаются.
16. Журнал регистрации хранится в металлическом шкафу (сейфе) в технически укрепленном помещении. Ключи от металлического шкафа (сейфа) и технически укрепленного помещения находятся у лица, ответственного за ведение и хранение журнала регистрации.
17. Заполненные журналы вместе с документами, подтверждающими осуществление операций, хранятся в Управлении в течение 10 лет после внесения в них последней записи. По истечении указанного срока журналы подлежат уничтожению по акту, утверждаемому руководителем Управления.
18. При реорганизации юридического лица журналы и документы, подтверждающие осуществление операций, передаются на хранение правопреемнику.
19. В случае ликвидации юридического лица журналы и документы, подтверждающие осуществление операций, передаются на хранение в государственный или муниципальный архив по месту нахождения юридического лица в соответствии с законодательством об архивном деле в Российской Федерации до истечения срока их временного хранения, установленного пунктом 17 настоящих Правил, после чего подлежат уничтожению в установленном порядке.
Приложение № 15
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
СПИСОК
помещений, выделенных для установки СКЗИ и хранения ключевых документов к ним
Для установки СКЗИ выделены следующие кабинеты:
«
№ п/п
Название кабинета
Адрес расположения
1.
Отделение по кадровой работе и профилактике коррупционных правонарушений (каб. № 12)
г.Абакан ул. Щетинкина д.13 пом. 1Н
»;
Для хранения ключевых документов СКЗИ выделены следующие кабинеты:
«
№ п/п
Название кабинета
Адрес расположения
1.
Отделение по кадровой работе и профилактике коррупционных правонарушений (каб. № 12)
г.Абакан ул. Щетинкина д.13 пом. 1Н
»;
(приложение 15 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 16
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
СПИСОК
должностных лиц, допущенных к работе с СКЗИ
К работе с СКЗИ допускаются следующие лица:
№ п/п
Фамилия Имя Отчество
Должность
Старков Николай Иванович
Начальник Управления
Турлевский Игорь Иванович
Советник отдела оперативного планирования и управления
Федосова Лариса Леонидовна
Ведущий советник отделения по кадровой работе и профилактике коррупционных правонарушений
(строка 3 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Качур Наталья Ивановна
Советник отделения по кадровой работе и профилактике коррупционных правонарушений
(строка 4 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 17
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
(типовая форма)
ОБЯЗАТЕЛЬСТВО
государственного гражданского служащего Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением служебных обязанностей
Мне, ____________________________________________________________________,
(фамилия, имя, отчество полностью)
паспорт (иной документ, удостоверяющий личность)__________________________ ______,
_______________________________________________________________________________
(серия, номер, кем и когда выдан)
известно, что в период прохождения государственной гражданской службы в Управлении по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее – Управление) персональные данные, ставшие мне известными в связи с исполнением должностных обязанностей, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат.
В случае расторжения со мной служебного контракта, освобождения меня от замещаемой должности и увольнения из Управления, прекращения (расторжения) трудового договора обязуюсь:
1. Не разглашать персональные данные, ставшие мне известными в связи с исполнением должностных обязанностей в Управлении, третьей стороне без письменного согласия субъектов персональных данных, за исключением случаев, когда это требуется в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных законодательством.
2. Не использовать персональные данные, ставшие мне известными в связи с исполнением должностных обязанностей в Управлении, в коммерческих целях без письменного согласия субъектов персональных данных.
3. Прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей в Управлении.
4. Не копировать лично и не давать поручения копировать электронную базу данных, не допускать её копирования третьими лицами, сдать все имеющиеся электронные носители, принадлежащие Управлению.
Мне разъяснены положения действующего законодательства об обеспечении сохранности персональных данных субъектов персональных данных.
Мне известно, что нарушение этих положений может повлечь дисциплинарную, гражданско-правовую, административную и уголовную ответственность в соответствии с законодательством Российской Федерации.
«____»_______________20___г. ____________________________
(подпись, расшифровка подписи)
Приложение № 18
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
(типовая форма)
РАЗЪЯСНЕНИЕ
субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
Мне, _____________________________________________________________________________,
(Фамилия, имя, отчество)
паспорт (иной документ, удостоверяющий личность)________________________________,
_______________________________________________________________________________
(серия, номер, кем и когда выдан)
разъяснены юридические последствия отказа предоставить свои персональные данные Управлению по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия (далее – Управление).
В соответствии со статьями 26, 42 Федерального закона от 27.07.2004 № 79-ФЗ «О государственной гражданской службе в Российской Федерации», статьями 57, 65 Трудового кодекса Российской Федерации, постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», определён перечень персональных данных, которые субъект персональных данных обязан предоставить для заключения служебного контракта (трудового договора), а также для решения вопросов в сфере деятельности, оказания государственной услуги, реализации права на труд, права на пенсионное обеспечение, права на медицинское страхование.
Для государственных гражданских служащих
я предупрежден, что в случае отказа предоставить свои персональные данные служебный контракт на основании п. 11 ст. 33 ФЗ-79 «О государственной гражданской службе в Российской Федерации» подлежит расторжению вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность замещения должности гражданской службы.
Для работников:
я предупрежден, что в случае отказа предоставить свои персональные данные Трудовой договор на основании ст. 57, 65 Трудового кодекса Российской Федерации» подлежит расторжению вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность продолжения работы.
«____»_______________20___г. ____________________________
(подпись, расшифровка подписи)
Юридические последствия отказа предоставить персональные данные разъяснил (а):
_______________________ _________________ ______________________
(должность) (подпись) (Ф.И.О.)
Приложение № 19
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
(типовая форма)
СОГЛАСИЕ
на обработку персональных данных
Я, ____________________________________________________________________________
(фамилия, имя, отчество)
имеющий(ая) ______________________ серия _________ № _____________________
(вид документа, удостоверяющего личность)
выдан_______________________________________________________________________________________________________________________________________________________________,
(наименование органа, выдавшего паспорт, дата выдачи)
проживающий(ая) ______________________________________________________________,
(адрес места жительства по паспорту)
выражаю своё согласие на обработку моих персональных данных по своей воле и в своихинтересах____________________________________________________________
(наименование государственного органа Республики Хакасия, получающего согласие субъекта
_________________________________________________________________________
персональных данных, адрес государственного органа, получающего согласие субъекта персональных данных)
с целью _________________________________________________________________
(цель обработки персональных данных)
на обработку персональных данных __________________________________________
_________________________________________________________________________
(перечень персональных данных, на обработку которых дается согласие субъекта персональных данных)
Обработка персональных данных поручается ___________________________________
(наименование или фамилию, имя, отчество,
_________________________________________________________________________
адрес лица, осуществляющего обработку персональных данных по поручению оператора (указать наименование
_________________________________________________________________________________________________________
оператора), если обработка будет поручена такому лицу)
с персональными данными будут совершаться следующие действия ___________________
__________________________________________________________________________________________________________________________________________________
(перечень действий с персональными данными, на совершение которых дается согласие)
Настоящее согласие на обработку персональных данных действует в течение __________
_________________________________________________________________________
(срок, в течение которого действует согласие субъекта персональных данных)
Мне известно, что обработка моих персональных данных будет осуществляться с применением электронных и бумажных носителей информации.
Я оставляю за собой право отозвать своё настоящее согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.
«____» _____________201 г.
________________
______________________
Приложение № 20
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
(типовая форма)
Начальнику Управления по гражданской обороне,
чрезвычайным ситуациям и пожарной
безопасности Республики Хакасия
___________________________________________
(Ф.И.О)
___________________________________________,
(Ф.И.О.)
Зарегистрированного по адресу ________________
___________________________________________
___________________________________________
(Вид документа, удостоверяющего личность, серия, номер)
выдан _____________________________________
___________________________________________
(наименование организации, выдавшей документ)
___________________________________________
(дата выдачи)
СОГЛАСИЕ
на получение персональных данных от третьих лиц
Я, _______________________________________________________________,
(фамилия, имя, отчество полностью)
в соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ____________________________________
_______________________________________________________________________,
(наименование государственного органа)
расположенному по адресу: _______________________________________________,
на получение моих персональных данных о предыдущих местах работы и периодах трудовой деятельности от третьих лиц. Так же проверку моих персональных данных, а именно – проверку движимого имущества, проверку недвижимого имущества, проверку доходов, в том числе проверку сведений о счетах в банках и иных кредитных организациях, проверку сведений об остатках денежных средств на счетах, о суммах поступивших на счета денежных средств, о размерах доходов от вкладов в банках и иных кредитных организаций, проверку подлинности диплома, проверку подлинности медицинского заключения.
Перечень действия – запросы в учреждения, организации, предприятия, банки и иные кредитные учреждения.
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
___________________
(дата)
______________
(подпись)
_________________
(Ф.И.О.)
(приложение 20 в редакции приказа Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия от 04.05.2021 № 41)
Приложение № 21
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
(типовая форма)
ЗАЯВЛЕНИЕ
субъекта об отзыве согласия
Начальнику Управления по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Республики Хакасия
_________________________________________
(И.О. фамилия)
_____________________________________________________________
адрес
от ______________________________________
(Ф.И.О. субъекта)
_________________________________________
адрес, где зарегистрирован субъект
_________________________________________
номер основного документа, удостоверяющего его личность
_________________________________________
дата выдачи указанного документа
_________________________________________
наименование органа, выдавшего документ
ЗАЯВЛЕНИЕ
Прошу Вас
(прекратить обработку, блокировать/уточнить/изменить/уничтожить/устранить нарушения)
моих персональных данных в связи с
(указать причину)
«____»___________ 201__ г. _______________ _____________________
(подпись) (Фамилия И.О.)
Приложение № 22
к приказу Управления по ГО, ЧС и ПБ
Республики Хакасия
от 23.03.2020 № 60
(типовая форма)
СОГЛАСИЕ
субъекта персональных данных считать сведения общедоступными
Я,
(Ф.И.О.)
(адрес субъекта)
(номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)
даю согласие считать следующие персональные данные общедоступными: _______
(перечислить персональные данные)
необходимых в целях информационного обеспечения при работе в , расположенного по адресу: .
Согласен на совершение следующих действий с моими общедоступными персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, уничтожение, удаление персональных данных следующими способами: автоматизированная обработка, обработка без использования средств автоматизации.
В случае отзыва согласия на обработку персональных данных, в Управление по ГО, ЧС и ПБ Республики Хакасия обязуется прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 дней.
Данное согласие действует с «___» __________ 201__ г. по «___» ________ 201__ г.
С правом отзыва настоящего согласия ознакомлен.
_____________________________ «____» ________________ 201__г. (подпись)
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 18.05.2020 |
| Рубрики правового классификатора: | 120.030.060 Информация о гражданах (персональные данные) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
