Основная информация
| Дата опубликования: | 31 октября 2019г. |
| Номер документа: | RU93000201901836 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Республика Крым |
| Принявший орган: | Министерство топлива и энергетики Республики Крым |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ТОПЛИВА И ЭНЕРГЕТИКИ
РЕСПУБЛИКИ КРЫМ
ПРИКАЗ
31.10.2019 Г.
№ 499
ОБ УТВЕРЖДЕНИИ
ПОЛОЖЕНИЯ О ПОРЯДКЕ
ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ ТОПЛИВА И ЭНЕРГЕТИКИ
РЕСПУБЛИКИ КРЫМ
В целях обеспечения безопасности персональных данных в Министерстве топлива и энергетики Республики Крым, руководствуясь Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» п р и к а з ы в а ю:
Утвердить Положение о порядке обработки и защиты персональных данных в Министерстве топлива и энергетики Республики Крым согласно приложению.
Руководителям структурных подразделений Министерства топлива и энергетики Республики Крым ознакомить с настоящим приказом подчиненных работников.
Признать утратившим силу приказ Министерства топлива и энергетики Республики Крым от 05.05.2015 №119 «Об утверждении положения о порядке обработки персональных данных и реализуемых требованиях к защите персональных данных в Министерстве топлива и энергетики Республики Крым».
4. Контроль за исполнением настоящего приказа оставляю за собой.
Министр В.Д. Белик
Заместитель министра _____________________ О.А. Петров
Начальник управления правовой,
кадровой, организационной работы
и государственной гражданской службы___________________ К.В. Стус
Начальник управления финансов,
целевых программ и перспективного развития ______________И.А. Роденко
Начальник управления энергетического
комплекса и энергоэффективности ________________________Ю.А. Джигирей
Начальник управления нефтегазового
комплекса, газификации и топливных
ресурсов _________________В.А. Жданов
Заведующий отделом организационной
работы и делопроизводства ______________________________ С.В. Романенко
Отпечатано 2 экз.:
1- ООРД
2- ООРД
исп. Писарева Н.С.
тел. 51-76-79
Приложение № 1
к приказу Министерства топлива и энергетики Республики Крым № ________ от _____________.
ПОЛОЖЕНИЕ
о порядке обработки и защиты персональных данных
в Министерстве топлива и энергетики Республики Крым
1. Общие положения
1.1. Положение о порядке обработки и защиты персональных данных
(далее - Положение) в Министерстве топлива и энергетики Республики Крым (далее – Министерство) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Министерстве.
1.2. Настоящее Положение определяет действия Министерства как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.3. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.4. Обработка персональных данных Министерства (далее - Оператор) осуществляется в целях предоставления государственных и муниципальных услуг в соответствии с административными регламентами предоставления указанных услуг на основании соглашений, заключенных Оператором с федеральными органами исполнительной власти и органами государственных внебюджетных фондов, органами местного самоуправления, обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы
и обеспечения сохранности имущества.
1.5. Основные понятия, используемые в настоящем Положении:
1.5.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному, или определяемому физическому лицу (далее – субъекту персональных данных).
1.5.2. Оператор персональных данных (оператор) – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.5.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение.
1.5.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.5.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.5.6. Предоставление персональных данных – действия, направленные
на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.5.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.5.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.5.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.5.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.5.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.6. Обработка персональных данных в Министерстве осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и действующим законодательством Российской Федерации в области персональных данных.
1.7. Перечень должностей Министерства, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждается приказом Министра топлива и энергетики Республики Крым.
1.8. Деятельность по организации обработки и защиты персональных данных в соответствии с требованиями законодательства Российской Федерации о персональных данных осуществляет сотрудник Министерства, ответственный за организацию обработки персональных данных Министерства.
1.9. Деятельность по администрированию средств и механизмов защиты персональных данных осуществляет сотрудник Министерства, назначенный администратором информационной безопасности информационных систем Министерства.
1.10. Техническое обслуживание информационных систем персональных данных осуществляет сотрудник Министерства, назначенный администратором информационных систем Министерства.
1.11. Ответственные за организацию обработки персональных данных, администратор информационной безопасности информационных систем, и администратор информационных систем назначаются приказом Министра топлива и энергетики Республики Крым
.
2. Условия и порядок обработки персональных данных
2.1. Персональные данные в Министерстве обрабатываются в следующих целях:
предоставление государственных и муниципальных услуг, в том числе и в электронной форме;
реализация кадровой политики, кадровый учет, оформление документов по кадровым вопросам на работников;
начисление и выплата заработной платы, оформление налоговых вычетов и льгот;
работа с обращениями и запросами граждан;
исполнение иных функций и полномочий, возложенных на Оператора положениями правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.
2.2. В целях, указанных в пункте 2.1 настоящего Положения, обрабатываются следующие категории субъектов:
работники (субъекты), состоящие в трудовых отношениях
с Оператором, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
физические лица, находящиеся на иждивении у работника;
физические лица (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с Оператором;
физические лица, либо их уполномоченные представители (субъекты), обратившиеся к Оператору на законных основаниях;
представители/работники клиентов и контрагентов Оператора (юридических лиц).
2.3. Все персональные данные субъектов Министерства получает от них самих либо от их законных представителей.
2.4. Обработка персональных данных осуществляется в соответствии
с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных, кроме случаев, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Федеральным законом №152-ФЗ). Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
2.5. Получение персональных данных субъекта у третьих лиц, возможно только при уведомлении субъекта об этом заранее и с его письменного согласия кроме случаев, предусмотренных Федеральным законом №152-ФЗ. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
2.6. Персональные данные субъектов Министерства обрабатываются
в структурных подразделениях в соответствии с исполняемыми функциями.
2.7. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные. Типовая форма разъяснения представлена в приложении 1 к настоящему Положению.
2.8. Доступ лиц к обработке персональных данных осуществляется
в соответствии со списком, утвержденным приказом Министра топлива и энергетики Республики Крым, и только после подписания обязательства о неразглашении персональных данных (Приложение 2 к настоящему Положению).
2.9. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласие должно быть в письменной форме, в случаях, предусмотренных действующим законодательством (Приложения 3 - 6 к настоящему Положению).
2.10. Уполномоченные лица, допущенные к обработке персональных данных субъектов Министерства, имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностной инструкцией уполномоченных лиц.
2.11. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» утвержденного постановлением Правительства Российской Федерации от 15.09.2008 №687. Персональные данные при такой их обработке, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных,
в специальных разделах или на полях форм (бланков).
2.12. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
2.13. Персональные данные подлежат уничтожению либо обезличиванию в следующих случаях:
достижения целей обработки или в случае утраты необходимости
в их достижении;
отзыва согласия субъекта персональных данных на обработку персональных данных (форма отзыва согласия приведена в приложении 7 к настоящему Положению);
представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя
и невозможности обеспечить правомерную обработку персональных данных.
2.14. Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются в соответствии со списком, утвержденным в порядке, определяемом в Учреждении.
2.15. В срок, не превышающий 7 дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ответственный за обработку персональных данных вносит в них необходимые изменения, а также уведомляет субъекта о внесенных изменениях.
2.16. Уничтожение персональных данных осуществляется в срок,
не превышающий 30 дней с момента достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами Российской Федерации.
2.17. Уничтожение персональных данных осуществляется в срок,
не превышающий 30 дней с момента отзыва согласия субъекта персональных данных на обработку персональных данных.
2.18. Уничтожение персональных данных осуществляется в срок,
не превышающий 7 дней с момента представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
2.19. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных уничтожение персональных данных осуществляется в срок, не превышающий 10 дней с момента выявления неправомерной обработки персональных данных. Решение о неправомерности обработки персональных данных и необходимости уничтожения персональных данных принимает ответственный за организацию обработки персональных данных, который доводит соответствующую информацию до Министра топлива и энергетики Республики Крым, уведомляет субъекта персональных данных или его законного представителя об уничтожении персональных данных.
2.20. Уничтожение персональных данных осуществляется комиссией, с привлечением соответствующего руководителя структурного подразделения, являющимся ответственным за обработку уничтожаемых персональных данных.
2.21. Состав комиссии по уничтожению персональных данных утверждается Министром топлива и энергетики Республики Крым.
2.22. Способ уничтожения материальных носителей персональных данных определяется комиссией. Допускается применение следующих способов:
сжигание;
шредирование (измельчение);
передача на специализированные полигоны (свалки);
химическая обработка.
2.23. При этом составляется акт, подписываемый председателем комиссии, проводившей уничтожение материальных носителей персональных данных.
2.24. При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае комиссия Министерства должна присутствовать при уничтожении материальных носителей персональных данных. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей персональных данных, подлежащих уничтожению, в специализированную организацию.
2.25. Уничтожение полей баз данных Оператора, содержащих персональные данные субъекта, выполняется в случаях, установленных в пункте 2.12. по заявке руководителя структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.
2.26. Уничтожение осуществляет комиссия, в состав которой входит лицо, ответственное за техническое обслуживание автоматизированной системы персональных данных, с привлечением соответствующего руководителя структурного подразделения, являющимся ответственным за обработку уничтожаемых персональных данных.
2.27. Уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). При этом составляется акт, согласуемый лицом, ответственным за техническое обслуживание автоматизированных систем и руководителем структурного подразделения, являющимся ответственным за обработку уничтожаемых персональных данных.
2.28. Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами.
2.29. При отсутствии технической возможности осуществить уничтожение персональных данных, содержащихся в базах данных, допускается проведение обезличивания путем перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта персональных данных была не возможна.
2.30. Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных.
2.31. Обработка биометрических персональных данных (фотография, используемая для идентификации, отпечатки пальцев, изображение сетчатки глаза и т.д.), в соответствии со статьей 11 Федерального закона №152-ФЗ, допускается при наличии согласия субъекта.
2.32. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права
и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.
2.33. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе №152-ФЗ.
2.34. Сотрудники должны быть ознакомлены под подпись с настоящим Положением и другими документами Министерства, устанавливающими порядок обработки персональных данных субъектов, а также права и обязанности в этой области.
3. Защита персональных данных
3.1. Защиту персональных данных субъектов от неправомерного
их использования или утраты, Министерство обеспечивает за счет собственных средств в порядке, установленном законодательством Российской Федерации.
3.2. При обработке персональных данных должны быть приняты необходимые организационные и технические меры по обеспечению
их конфиденциальности.
3.3. Принятие необходимых организационных и технических мер по защите персональных данных осуществляется ответственным лицом за защиту информации и обеспечение безопасности персональных данных в Министерстве, администратором информационной безопасности в Министерстве.
3.4. Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии со следующими документами:
постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
приказ Федеральной службы безопасности Российской Федерации от 10.07.2014 №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности №149/7/2/6-432 от 31.03.2015;
базовая модель угроз безопасности персональных данных при
их обработке в информационных системах персональных данных, от 15.02.2008;
методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных,
от 14.02.2008;
специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30.08.2002 №282;
локальными актами Министерства, действующими в сфере обеспечения информационной безопасности.
3.5. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Министерства, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
определение угроз безопасности персональных данных при
их обработке в информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Министерства, а также обеспечением регистрации и учета всех действий, совершаемых
с персональными данными в информационных системах персональных данных;
контроль принимаемых мер по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
3.6. Ответственное лицо за защиту информации и обеспечение безопасности персональных данных в Министерстве, организует и контролирует ведение учета материальных носителей персональных данных и обеспечивает:
своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации
до ответственного за организацию обработки персональных данных в Министерстве;
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль обеспечения уровня защищенности персональных данных;
знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
при обнаружении нарушений порядка представления персональных данных незамедлительное приостановление представления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
3.7. Обмен персональными данными при их обработке в информационных системах персональных данных Министерства осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения сертифицированных программных и технических средств.
3.8. Доступ работников, допущенных к обработке персональных данных в информационной системе, предусматривает обязательное прохождение процедуры идентификации и аутентификации пользователя информационной системы.
3.9. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Министерства уполномоченными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
3.10. Защита персональных данных предусматривает ограничение к ним доступа.
3.11. Руководители структурных подразделений Министерства, осуществляющих обработку персональных данных:
несут ответственность за организацию защиты персональных данных в подчиненном структурном подразделении;
обеспечивают изучение подчинёнными сотрудниками, в чьи обязанности входит обработка персональных данных, нормативных правовых актов по защите персональных данных и требует их неукоснительного исполнения;
обеспечивают режим конфиденциальности в отношении персональных данных, обрабатываемых в структурном подразделении;
организуют контроль доступа к персональным данным в соответствии
с функциональными обязанностями сотрудников подразделения;
организуют контроль доступа в помещения, в которых обрабатываются персональные данные.
3.12. Сотрудники, допущенные к персональным данным, дают письменное обязательство о неразглашении таких данных в установленном порядке.
4. Сроки обработки и хранения персональных данных
4.1. Сроки обработки и хранения персональных данных определяются
в соответствии с законодательством Российской Федерации.
4.2. Сроки обработки и хранения персональных данных, представляемых субъектами персональных данных, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
4.3. Персональные данные граждан, обратившихся в Министерство лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
4.4. Персональные данные, представляемые субъектами на бумажном носителе хранятся на бумажных носителях в соответствующих структурных подразделениях, к полномочиям которых относится обработка персональных данных в соответствии с действующими нормативными актами.
4.5. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
4.6. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.
4.7. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений.
4.8. Срок хранения персональных данных, внесенных в информационные системы персональных данных Министерства, должен соответствовать сроку хранения бумажных оригиналов.
5. Правила работы с обезличенными персональными данными
5.1. Порядок обезличивания включает в себя замену идентифицирующей информации о субъекте (например: фамилию, имя и отчество) на произвольный код (далее – идентификатор).
5.2. Обезличивание должно проводиться таким образом, чтобы определить принадлежность персональных данных конкретному субъекту персональных данных было невозможно без использования дополнительной информации.
5.3. Если обезличенные персональные данные используются в целях продвижения товаров, работ, услуг на рынке, или в целях политической агитации, Министерство обязано получить согласие субъекта персональных данных на подобную обработку.
5.4. Методы и способы защиты информации от несанкционированного доступа для обеспечения безопасности обезличенных персональных данных в информационных системах и целесообразность их применения определяются ответственным за организацию обработки персональных данных Министерства индивидуально для каждой информационной системы персональных данных.
6. Передача персональных данных третьим лицам
6.1. При обработке персональных данных субъекта должны соблюдаться следующие требования:
не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта персональных данных, если иное не предусмотрено федеральными законами Российской Федерации;
предупреждать лиц, получающих персональные данные субъекта,
о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности в отношении этих данных.
6.2. При необходимости трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, Министерство запрашивает согласие субъекта в письменной форме.
7. Права субъектов персональных данных
7.1. В целях обеспечения своих интересов субъекты имеют право:
получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом №152-ФЗ;
требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона №152-ФЗ. Субъект при отказе Оператором исключить или исправить персональные данные субъекта имеет право заявлять в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;
требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
обжаловать в суд любые неправомерные действия или бездействие Оператора при обработке и защите персональных данных субъекта.
8. Порядок обработки обращений и запросов субъектов
8.1. При обращении либо письменном запросе субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Министерство руководствуется требованиями статей 14, 18 и 20 Федерального закона №152-ФЗ;
8.2. Доступ субъекта персональных данных или его законного представителя к своим персональным данным Министерства предоставляет только под контролем ответственного за организацию обработки персональных данных Министерства.
8.3. Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
8.4. Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.
8.5. В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона №152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.
8.6. Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает сотрудника (сотрудников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.
8.7. Сведения о наличии персональных данных Министерство предоставляет субъекту персональных данных в доступной форме, и в них
не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.
8.8. Сведения о наличии персональных данных должны быть предоставлены субъекту при ответе на запрос в течение тридцати дней от даты получения запроса субъекта персональных данных или его законного представителя.
9. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных
9.1. Оценкой вреда, который может быть причинен субъектам персональных данных, в случае нарушения требований по обработке и обеспечению безопасности персональных данных является определение юридических или иным образом затрагивающих права и законные интересы последствий в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных.
9.2. К юридическим последствиям относятся случаи возникновения, изменения или прекращения личных либо имущественных прав субъектов персональных данных или иным образом затрагивающие их права, свободы
и законные интересы.
9.3. В целях недопущения нарушения и обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также определения соотношения вреда, который может быть причинен субъектам персональных данных при обработке персональных данных должны определяться и документально оформляться все возможные юридические или иным образом затрагивающие права и законные интересы последствия, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных.
9.4. Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве утверждаются приказом Министра топлива и энергетики Республики Крым.
10. Обязанности лиц, допущенных к обработке персональных данных
10.1. Лица, допущенные к работе с персональными данными, обязаны:
знать законодательство Российской Федерации в области обработки и защиты персональных данных, нормативные документы Министерства по защите персональных данных;
сохранять конфиденциальность персональных данных;
обеспечивать сохранность закрепленных за ними носителей персональных данных;
контролировать срок истечения действия согласий на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки персональных данных;
докладывать своему непосредственному руководителю структурного подразделения обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.
11. Ответственность сотрудника за нарушение норм, регулирующих обработку и защиту персональных данных субъектов
11.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности.
11.2. К данным лицам могут быть применены следующие дисциплинарные взыскания:
замечание;
выговор;
увольнение.
11.3. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
11.4. Копия приказа о применении к сотруднику дисциплинарного взыскания с указанием оснований его применения вручается сотруднику под расписку в течение трех рабочих дней со дня издания приказа.
11.5. Если в течение года со дня применения дисциплинарного взыскания сотрудник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Министерство до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с сотрудника по собственной инициативе, по письменному заявлению сотрудника или по ходатайству его непосредственного руководителя.
12. Контроль обеспечения безопасности персональных данных
12.1. Целью контроля является соблюдение структурными подразделениями Министерства, эксплуатирующими информационные системы и обрабатывающими персональные данные без средств автоматизации, требований по обеспечению безопасности персональных данных.
12.2. Задачами контроля являются:
установление фактического положения дел по обеспечению безопасности персональных данных при их обработке;
выявление проблемных вопросов в организации обеспечения безопасности персональных данных;
обеспечение соблюдения законодательства Российской Федерации в области персональных данных;
выработка мер по оказанию методической и практической помощи структурным подразделениям Министерства, эксплуатирующим информационные системы и обрабатывающими персональные данные без средств автоматизации.
13. Порядок действий в случае запросов надзорных органов
13.1. В соответствии с частью 4 статьи 20 Федерального закона №152-ФЗ Министерство сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 дней с момента получения такого запроса.
13.2. Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением сотрудников Министерства.
13.3. В течение установленного законодательством срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.
Приложение №1 к Положению
Форма разъяснений субъекту персональных данных юридических последствия отказа предоставить его персональные данные
Кому: ___________________________
________________________________
Адрес: __________________________
________________________________
РАЗЪЯСНЕНИЯ
юридических последствий отказа предоставить персональные данные
Уважаемый(ая) _____________________________________________________,
уведомляем Вас о том, что оператору персональных данных Министерству топлива и энергетики Республики Крым, юридический адрес: 295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69, требуется получить следующие персональные данные:
__________________________________________________________________________
(перечень персональных данных)
на основании следующих федеральных законов:
_________________________________________________________________________.
(перечень документов)
В случае отказа предоставить перечисленные персональные данные:
__________________________________________________________________________
(перечень юридических последствий)
_________________________________________________________________________.
_________________________
___________________________
_____________
(должность)
(Ф.И.О.)
(подпись)
Приложение №2 к Положению
Обязательство о неразглашении персональных данных
Я, _________________________________________________________________, паспорт серии ________, номер _______________, выданный __________________________________________________________________________ "___"___________ ____ года, понимаю, что получаю доступ к персональным данным:
физических лиц или их уполномоченных представителей, обратившихся в Министерство топлива и энергетики Республики Крым с запросом на предоставление государственной или муниципальной услуги (далее – заявители);
иных лиц, если для получения государственной или муниципальной услуги необходимо получить документы или информацию об ином лице, не являющемся заявителем, или получателем услуги является иное лицо, не являющееся заявителем;
работников Министерства топлива и энергетики Республики Крым;
соискателей вакансий Министерства топлива и энергетики Республики Крым;
уволенных работников Министерства топлива и энергетики Республики Крым;
членов семей работников Министерства топлива и энергетики Республики Крым;
контрагентов Министерства топлива и энергетики Республики Крым;
работников организаций, занимающих рабочие места в операционном зале Министерства топлива и энергетики Республики Крым.
Я понимаю, что во время исполнения своих должностных обязанностей, мне приходится заниматься обработкой персональных данных. Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных, как прямой, так и косвенный. В связи с этим, даю обязательство, при обработке персональных данных соблюдать все описанные в Положении о порядке обработки и защиты персональных данных в Министерстве топлива и энергетики Республики Крым требования.
Я подтверждаю, что не имею права разглашать сведения, составляющие персональные данные. Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я могу быть привлечен(а) к дисциплинарной и материальной ответственности в порядке, установленном в Трудовом кодексе РФ и иными федеральными законами, а также привлечен(а) к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
«__» __________ 20__ г. _____________ (__________________________)
(подпись, расшифровка подписи)
Приложение №3 к Положению
Согласие субъекта (иного лица, не являющегося заявителем) на обработку его персональных данных
Министерству топлива и энергетики Республики Крым
295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69
Согласие на обработку персональных данных
В соответствии с требованиями части 3 статьи 7 Федерального закона от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», части 4 статьи 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
я, ___________________________________________________________, паспорт серии ______, номер ______________, выданный __________________________________________________________________________ "___"____________ _______ года, проживающий(ая) по адресу: _________________________________________________________________________, даю согласие Министерству топлива и энергетики Республики Крым, юридический адрес: 295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69, на обработку моих персональных данных, а именно:
фамилия, имя, отчество;
сведения о документе, удостоверяющем личность;
контактная информация;
дата и место рождения;
паспортные данные;
пол;
место жительства;
данные миграционной карты;
сведения о регистрации;
данные разрешения на временное проживание;
ИНН;
номер страхового свидетельства государственного пенсионного страхования;
сведения о детях и родственниках;
иные сведения, предусмотренные трудовым законодательством и законодательством об организации предоставления государственных и муниципальных услуг.
Целью обработки персональных данных является предоставление государственных и муниципальных услуг.
Согласен(а) на предоставление моих персональных данных органам, предоставляющим государственные услуги, органам, предоставляющими муниципальные услуги, иным государственным органам, органам местного самоуправления, подведомственным государственным органам или органам местного самоуправления организациям, участвующим в предоставлении государственных и муниципальных услуг.
Настоящее согласие предоставляется на совершение следующих действий (операций) с моими персональными данными: сбор (в том числе у определенного круга третьих лиц, без уведомления меня об этом), систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, предоставление (в том числе передачу определенному кругу третьих лиц для достижения вышеуказанных целей), обезличивание, блокирование, удаление, уничтожение. Оператор вправе обрабатывать мои персональные данные как с использованием средств автоматизации, так и без использования таких средств.
Я подтверждаю, что ознакомлен(а) с требованиями законодательства Российской Федерации, устанавливающими порядок обработки персональных данных, с политикой Министерства топлива и энергетики Республики Крым в отношении обработки персональных данных, а также с моими правами и обязанностями в этой области.
Я подтверждаю, что мне известно о праве отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес оператора. В случае моего отзыва согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без моего согласия при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Настоящее согласие дано мной ______________________________.
(дата)
Согласие действует_________________________________________________.
(срок действия)
«__» __________ 20__ г. _________________ (_________________________________)
(подпись, расшифровка подписи)
Принял: «__» __________ 20__ г. ______________ (_____________________________)
(подпись, расшифровка подписи)
Приложение №4 к Положению
Согласие субъекта (работника) на обработку его персональных данных
Я, _________________________________________________________________, паспорт серии ______, номер ________________, выданный __________________________________________________________________________ "___"_______________ __________ года, проживающий(ая) по адресу: _________________________________________________________________________, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 "О персональных данных" даю согласие Министерству топлива и энергетики Республики Крым, юридический адрес: 295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69, на обработку моих персональных данных, а именно:
фамилия, имя, отчество;
фотография;
контактная информация;
дата и место рождения;
информация о месте жительства;
паспортные данные;
пол;
гражданство;
должность;
данные разрешения на временное проживание;
номер страхового свидетельства государственного пенсионного страхования;
ИНН;
тарифная ставка/оклад;
семейное положение;
сведения о детях и родственниках;
сведения о воинском учете;
сведения об образовании;
сведения об аттестации и повышении квалификации;
сведения о трудовой деятельности;
сведения об отчислениях в ФНС, ПФР и ФСС;
реквизиты лицевого счета в банке;
сведения о доходах;
сведения о социальных льготах;
номер пропуска;
дата и время прихода/ухода.
Целями обработки персональных данных являются:
ведение кадрового делопроизводства;
начисление и выплата заработной платы, вознаграждений, премирования, материальной помощи;
начисление взносов в пенсионный фонд, фонд социального страхования;
начисление налога на доход физических лиц;
формирование отчетности для предоставления в государственные органы;
обеспечение общехозяйственной деятельности;
обеспечение экономической, физической, пожарной, информационной безопасности;
предотвращение конфликта интересов.
Настоящее согласие предоставляется на совершение следующих действий (операций) с моими персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (в том числе предоставление определенному кругу третьих лиц для достижения вышеуказанных целей), обезличивание, блокирование, удаление, уничтожение, осуществляемых как с использованием средств автоматизации (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка).
Согласен(а) на предоставление моих персональных данных следующим организациям:
банкам, с которыми заключены договоры на обслуживание по выплате денежных средств работникам;
Пенсионный Фонд, Фонд социального страхования, МИФНС.
Согласен(а) на размещение в общедоступных источниках, следующих моих персональных данных: фамилия, имя, отчество, должность, номер рабочего телефона.
Я подтверждаю, что ознакомлен(а) с требованиями законодательства Российской Федерации, устанавливающими порядок обработки персональных данных, с политикой Министерства топлива и энергетики Республики Крым в отношении обработки персональных данных, а также с моими правами и обязанностями в этой области.
Согласие вступает в силу со дня его подписания на период не менее, чем срок хранения документов, установленный архивным законодательством. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
«__» __________ 20__ г. _____________ (__________________________)
Приложение №5 к Положению
Согласие субъекта (контрагента – физического лица) на обработку его персональных данных
Я, _________________________________________________________________, паспорт серии ______, номер ________________, выданный __________________________________________________________________________ "___"_______________ __________ года, проживающий(ая) по адресу: _________________________________________________________________________, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 "О персональных данных" даю согласие Министерству топлива и энергетики Республики Крым, юридический адрес: 295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69, на обработку моих персональных данных, а именно:
фамилия, имя, отчество;
контактная информация;
сведения о месте жительства;
паспортные данные;
ИНН;
реквизиты лицевого счета в банке;
сведения о доходах.
Целью обработки персональных данных является оформление и исполнение договорных обязательств.
Настоящее согласие предоставляется на совершение следующих действий (операций) с моими персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (в том числе предоставление определенному кругу третьих лиц для достижения вышеуказанных целей), блокирование, удаление, уничтожение, осуществляемых как с использованием средств автоматизации (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка).
Согласен(а) на предоставление моих персональных данных следующим организациям:
банкам, с которыми заключены договоры на обслуживание по выплате денежных средств работникам;
Наименование обслуживающей организации с целью программно-технического сопровождения.
Я подтверждаю, что ознакомлен(а) с требованиями законодательства Российской Федерации, устанавливающими порядок обработки персональных данных, с политикой Министерства топлива и энергетики Республики Крым в отношении обработки персональных данных, а также с моими правами и обязанностями в этой области.
Согласие вступает в силу со дня его подписания на период не менее чем срок хранения документов, установленных архивным законодательством. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
«__» __________ 20__ г. _____________ (__________________________)
(подпись, расшифровка подписи)
Приложение №6 к Положению
Согласие субъекта (работника организации, занимающей рабочее место в операционном зале) на обработку его персональных данных
Я, _________________________________________________________________, паспорт серии ______, номер ________________, выданный __________________________________________________________________________ "___"_______________ __________ года, проживающий(ая) по адресу: __________________________________________, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 "О персональных данных" даю согласие Министерству топлива и энергетики Республики Крым, юридический адрес295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69., на обработку моих персональных данных, а именно:
фамилия, имя, отчество;
должность;
наименование организации;
номер пропуска;
дата и время прихода/ухода.
Целью обработки персональных данных является обеспечение физической, пожарной и информационной безопасности Министерства топлива и энергетики Республики Крым.
Настоящее согласие предоставляется на совершение следующих действий (операций) с моими персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, блокирование, удаление, уничтожение, осуществляемых как с использованием средств автоматизации (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка).
Я подтверждаю, что ознакомлен(а) с требованиями законодательства Российской Федерации, устанавливающими порядок обработки персональных данных, с политикой Министерства топлива и энергетики Республики Крым в отношении обработки персональных данных, а также с моими правами и обязанностями в этой области.
Согласие вступает в силу со дня его подписания на период не менее чем срок хранения документов, установленных архивным законодательством. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
«__» __________ 20__ г. _____________ (__________________________) (подпись, расшифровка подписи)
Приложение №7 к Положению
Отзыв согласия на обработку персональных данных
Я, ________________________________________________________________, паспорт серии ______, номер ________________, выданный __________________________________________________________________________ "___"_______________ __________ года, проживающий(ая) по адресу: _______________________________________________________________________, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 "О персональных данных" настоящим отзываю свое согласие, на обработку персональных данных, данное мной «__» _______ 20__ г. Министерству топлива и энергетики Республики Крым, юридический адрес: 295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69. В связи с чем прошу прекратить обработку моих персональных данных и уничтожить их в установленный законом срок.
«__» __________ 20__ г. _____________ (__________________________)
(подпись, расшифровка подписи)
ЛИСТ ОЗНАКОМЛЕНИЯ
с приказом Министерства топлива и энергетики Республики Крым от ____________ № _______
«Об утверждении Положения о порядке обработки и защиты
персональных данных в Министерстве топлива и энергетики Республики Крым»
№ пп
Ф.И.О.
работника
Должность
работника
Дата
Подпись
об ознакомлении
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
МИНИСТЕРСТВО ТОПЛИВА И ЭНЕРГЕТИКИ
РЕСПУБЛИКИ КРЫМ
ПРИКАЗ
31.10.2019 Г.
№ 499
ОБ УТВЕРЖДЕНИИ
ПОЛОЖЕНИЯ О ПОРЯДКЕ
ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ ТОПЛИВА И ЭНЕРГЕТИКИ
РЕСПУБЛИКИ КРЫМ
В целях обеспечения безопасности персональных данных в Министерстве топлива и энергетики Республики Крым, руководствуясь Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» п р и к а з ы в а ю:
Утвердить Положение о порядке обработки и защиты персональных данных в Министерстве топлива и энергетики Республики Крым согласно приложению.
Руководителям структурных подразделений Министерства топлива и энергетики Республики Крым ознакомить с настоящим приказом подчиненных работников.
Признать утратившим силу приказ Министерства топлива и энергетики Республики Крым от 05.05.2015 №119 «Об утверждении положения о порядке обработки персональных данных и реализуемых требованиях к защите персональных данных в Министерстве топлива и энергетики Республики Крым».
4. Контроль за исполнением настоящего приказа оставляю за собой.
Министр В.Д. Белик
Заместитель министра _____________________ О.А. Петров
Начальник управления правовой,
кадровой, организационной работы
и государственной гражданской службы___________________ К.В. Стус
Начальник управления финансов,
целевых программ и перспективного развития ______________И.А. Роденко
Начальник управления энергетического
комплекса и энергоэффективности ________________________Ю.А. Джигирей
Начальник управления нефтегазового
комплекса, газификации и топливных
ресурсов _________________В.А. Жданов
Заведующий отделом организационной
работы и делопроизводства ______________________________ С.В. Романенко
Отпечатано 2 экз.:
1- ООРД
2- ООРД
исп. Писарева Н.С.
тел. 51-76-79
Приложение № 1
к приказу Министерства топлива и энергетики Республики Крым № ________ от _____________.
ПОЛОЖЕНИЕ
о порядке обработки и защиты персональных данных
в Министерстве топлива и энергетики Республики Крым
1. Общие положения
1.1. Положение о порядке обработки и защиты персональных данных
(далее - Положение) в Министерстве топлива и энергетики Республики Крым (далее – Министерство) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Министерстве.
1.2. Настоящее Положение определяет действия Министерства как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.3. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.4. Обработка персональных данных Министерства (далее - Оператор) осуществляется в целях предоставления государственных и муниципальных услуг в соответствии с административными регламентами предоставления указанных услуг на основании соглашений, заключенных Оператором с федеральными органами исполнительной власти и органами государственных внебюджетных фондов, органами местного самоуправления, обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы
и обеспечения сохранности имущества.
1.5. Основные понятия, используемые в настоящем Положении:
1.5.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному, или определяемому физическому лицу (далее – субъекту персональных данных).
1.5.2. Оператор персональных данных (оператор) – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.5.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение.
1.5.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.5.5. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.5.6. Предоставление персональных данных – действия, направленные
на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.5.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.5.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.5.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.5.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.5.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.6. Обработка персональных данных в Министерстве осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и действующим законодательством Российской Федерации в области персональных данных.
1.7. Перечень должностей Министерства, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждается приказом Министра топлива и энергетики Республики Крым.
1.8. Деятельность по организации обработки и защиты персональных данных в соответствии с требованиями законодательства Российской Федерации о персональных данных осуществляет сотрудник Министерства, ответственный за организацию обработки персональных данных Министерства.
1.9. Деятельность по администрированию средств и механизмов защиты персональных данных осуществляет сотрудник Министерства, назначенный администратором информационной безопасности информационных систем Министерства.
1.10. Техническое обслуживание информационных систем персональных данных осуществляет сотрудник Министерства, назначенный администратором информационных систем Министерства.
1.11. Ответственные за организацию обработки персональных данных, администратор информационной безопасности информационных систем, и администратор информационных систем назначаются приказом Министра топлива и энергетики Республики Крым
.
2. Условия и порядок обработки персональных данных
2.1. Персональные данные в Министерстве обрабатываются в следующих целях:
предоставление государственных и муниципальных услуг, в том числе и в электронной форме;
реализация кадровой политики, кадровый учет, оформление документов по кадровым вопросам на работников;
начисление и выплата заработной платы, оформление налоговых вычетов и льгот;
работа с обращениями и запросами граждан;
исполнение иных функций и полномочий, возложенных на Оператора положениями правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.
2.2. В целях, указанных в пункте 2.1 настоящего Положения, обрабатываются следующие категории субъектов:
работники (субъекты), состоящие в трудовых отношениях
с Оператором, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
физические лица, находящиеся на иждивении у работника;
физические лица (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с Оператором;
физические лица, либо их уполномоченные представители (субъекты), обратившиеся к Оператору на законных основаниях;
представители/работники клиентов и контрагентов Оператора (юридических лиц).
2.3. Все персональные данные субъектов Министерства получает от них самих либо от их законных представителей.
2.4. Обработка персональных данных осуществляется в соответствии
с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных, кроме случаев, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Федеральным законом №152-ФЗ). Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
2.5. Получение персональных данных субъекта у третьих лиц, возможно только при уведомлении субъекта об этом заранее и с его письменного согласия кроме случаев, предусмотренных Федеральным законом №152-ФЗ. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
2.6. Персональные данные субъектов Министерства обрабатываются
в структурных подразделениях в соответствии с исполняемыми функциями.
2.7. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные. Типовая форма разъяснения представлена в приложении 1 к настоящему Положению.
2.8. Доступ лиц к обработке персональных данных осуществляется
в соответствии со списком, утвержденным приказом Министра топлива и энергетики Республики Крым, и только после подписания обязательства о неразглашении персональных данных (Приложение 2 к настоящему Положению).
2.9. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласие должно быть в письменной форме, в случаях, предусмотренных действующим законодательством (Приложения 3 - 6 к настоящему Положению).
2.10. Уполномоченные лица, допущенные к обработке персональных данных субъектов Министерства, имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностной инструкцией уполномоченных лиц.
2.11. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» утвержденного постановлением Правительства Российской Федерации от 15.09.2008 №687. Персональные данные при такой их обработке, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных,
в специальных разделах или на полях форм (бланков).
2.12. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
2.13. Персональные данные подлежат уничтожению либо обезличиванию в следующих случаях:
достижения целей обработки или в случае утраты необходимости
в их достижении;
отзыва согласия субъекта персональных данных на обработку персональных данных (форма отзыва согласия приведена в приложении 7 к настоящему Положению);
представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя
и невозможности обеспечить правомерную обработку персональных данных.
2.14. Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются в соответствии со списком, утвержденным в порядке, определяемом в Учреждении.
2.15. В срок, не превышающий 7 дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ответственный за обработку персональных данных вносит в них необходимые изменения, а также уведомляет субъекта о внесенных изменениях.
2.16. Уничтожение персональных данных осуществляется в срок,
не превышающий 30 дней с момента достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами Российской Федерации.
2.17. Уничтожение персональных данных осуществляется в срок,
не превышающий 30 дней с момента отзыва согласия субъекта персональных данных на обработку персональных данных.
2.18. Уничтожение персональных данных осуществляется в срок,
не превышающий 7 дней с момента представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
2.19. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя и невозможности обеспечить правомерную обработку персональных данных уничтожение персональных данных осуществляется в срок, не превышающий 10 дней с момента выявления неправомерной обработки персональных данных. Решение о неправомерности обработки персональных данных и необходимости уничтожения персональных данных принимает ответственный за организацию обработки персональных данных, который доводит соответствующую информацию до Министра топлива и энергетики Республики Крым, уведомляет субъекта персональных данных или его законного представителя об уничтожении персональных данных.
2.20. Уничтожение персональных данных осуществляется комиссией, с привлечением соответствующего руководителя структурного подразделения, являющимся ответственным за обработку уничтожаемых персональных данных.
2.21. Состав комиссии по уничтожению персональных данных утверждается Министром топлива и энергетики Республики Крым.
2.22. Способ уничтожения материальных носителей персональных данных определяется комиссией. Допускается применение следующих способов:
сжигание;
шредирование (измельчение);
передача на специализированные полигоны (свалки);
химическая обработка.
2.23. При этом составляется акт, подписываемый председателем комиссии, проводившей уничтожение материальных носителей персональных данных.
2.24. При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае комиссия Министерства должна присутствовать при уничтожении материальных носителей персональных данных. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей персональных данных, подлежащих уничтожению, в специализированную организацию.
2.25. Уничтожение полей баз данных Оператора, содержащих персональные данные субъекта, выполняется в случаях, установленных в пункте 2.12. по заявке руководителя структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.
2.26. Уничтожение осуществляет комиссия, в состав которой входит лицо, ответственное за техническое обслуживание автоматизированной системы персональных данных, с привлечением соответствующего руководителя структурного подразделения, являющимся ответственным за обработку уничтожаемых персональных данных.
2.27. Уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). При этом составляется акт, согласуемый лицом, ответственным за техническое обслуживание автоматизированных систем и руководителем структурного подразделения, являющимся ответственным за обработку уничтожаемых персональных данных.
2.28. Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами.
2.29. При отсутствии технической возможности осуществить уничтожение персональных данных, содержащихся в базах данных, допускается проведение обезличивания путем перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта персональных данных была не возможна.
2.30. Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных.
2.31. Обработка биометрических персональных данных (фотография, используемая для идентификации, отпечатки пальцев, изображение сетчатки глаза и т.д.), в соответствии со статьей 11 Федерального закона №152-ФЗ, допускается при наличии согласия субъекта.
2.32. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права
и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.
2.33. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе №152-ФЗ.
2.34. Сотрудники должны быть ознакомлены под подпись с настоящим Положением и другими документами Министерства, устанавливающими порядок обработки персональных данных субъектов, а также права и обязанности в этой области.
3. Защита персональных данных
3.1. Защиту персональных данных субъектов от неправомерного
их использования или утраты, Министерство обеспечивает за счет собственных средств в порядке, установленном законодательством Российской Федерации.
3.2. При обработке персональных данных должны быть приняты необходимые организационные и технические меры по обеспечению
их конфиденциальности.
3.3. Принятие необходимых организационных и технических мер по защите персональных данных осуществляется ответственным лицом за защиту информации и обеспечение безопасности персональных данных в Министерстве, администратором информационной безопасности в Министерстве.
3.4. Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии со следующими документами:
постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
приказ Федеральной службы безопасности Российской Федерации от 10.07.2014 №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности №149/7/2/6-432 от 31.03.2015;
базовая модель угроз безопасности персональных данных при
их обработке в информационных системах персональных данных, от 15.02.2008;
методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных,
от 14.02.2008;
специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30.08.2002 №282;
локальными актами Министерства, действующими в сфере обеспечения информационной безопасности.
3.5. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Министерства, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
определение угроз безопасности персональных данных при
их обработке в информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Министерства, а также обеспечением регистрации и учета всех действий, совершаемых
с персональными данными в информационных системах персональных данных;
контроль принимаемых мер по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
3.6. Ответственное лицо за защиту информации и обеспечение безопасности персональных данных в Министерстве, организует и контролирует ведение учета материальных носителей персональных данных и обеспечивает:
своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации
до ответственного за организацию обработки персональных данных в Министерстве;
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль обеспечения уровня защищенности персональных данных;
знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
при обнаружении нарушений порядка представления персональных данных незамедлительное приостановление представления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
3.7. Обмен персональными данными при их обработке в информационных системах персональных данных Министерства осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения сертифицированных программных и технических средств.
3.8. Доступ работников, допущенных к обработке персональных данных в информационной системе, предусматривает обязательное прохождение процедуры идентификации и аутентификации пользователя информационной системы.
3.9. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Министерства уполномоченными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
3.10. Защита персональных данных предусматривает ограничение к ним доступа.
3.11. Руководители структурных подразделений Министерства, осуществляющих обработку персональных данных:
несут ответственность за организацию защиты персональных данных в подчиненном структурном подразделении;
обеспечивают изучение подчинёнными сотрудниками, в чьи обязанности входит обработка персональных данных, нормативных правовых актов по защите персональных данных и требует их неукоснительного исполнения;
обеспечивают режим конфиденциальности в отношении персональных данных, обрабатываемых в структурном подразделении;
организуют контроль доступа к персональным данным в соответствии
с функциональными обязанностями сотрудников подразделения;
организуют контроль доступа в помещения, в которых обрабатываются персональные данные.
3.12. Сотрудники, допущенные к персональным данным, дают письменное обязательство о неразглашении таких данных в установленном порядке.
4. Сроки обработки и хранения персональных данных
4.1. Сроки обработки и хранения персональных данных определяются
в соответствии с законодательством Российской Федерации.
4.2. Сроки обработки и хранения персональных данных, представляемых субъектами персональных данных, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
4.3. Персональные данные граждан, обратившихся в Министерство лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
4.4. Персональные данные, представляемые субъектами на бумажном носителе хранятся на бумажных носителях в соответствующих структурных подразделениях, к полномочиям которых относится обработка персональных данных в соответствии с действующими нормативными актами.
4.5. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
4.6. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.
4.7. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений.
4.8. Срок хранения персональных данных, внесенных в информационные системы персональных данных Министерства, должен соответствовать сроку хранения бумажных оригиналов.
5. Правила работы с обезличенными персональными данными
5.1. Порядок обезличивания включает в себя замену идентифицирующей информации о субъекте (например: фамилию, имя и отчество) на произвольный код (далее – идентификатор).
5.2. Обезличивание должно проводиться таким образом, чтобы определить принадлежность персональных данных конкретному субъекту персональных данных было невозможно без использования дополнительной информации.
5.3. Если обезличенные персональные данные используются в целях продвижения товаров, работ, услуг на рынке, или в целях политической агитации, Министерство обязано получить согласие субъекта персональных данных на подобную обработку.
5.4. Методы и способы защиты информации от несанкционированного доступа для обеспечения безопасности обезличенных персональных данных в информационных системах и целесообразность их применения определяются ответственным за организацию обработки персональных данных Министерства индивидуально для каждой информационной системы персональных данных.
6. Передача персональных данных третьим лицам
6.1. При обработке персональных данных субъекта должны соблюдаться следующие требования:
не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта персональных данных, если иное не предусмотрено федеральными законами Российской Федерации;
предупреждать лиц, получающих персональные данные субъекта,
о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности в отношении этих данных.
6.2. При необходимости трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, Министерство запрашивает согласие субъекта в письменной форме.
7. Права субъектов персональных данных
7.1. В целях обеспечения своих интересов субъекты имеют право:
получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом №152-ФЗ;
требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона №152-ФЗ. Субъект при отказе Оператором исключить или исправить персональные данные субъекта имеет право заявлять в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;
требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
обжаловать в суд любые неправомерные действия или бездействие Оператора при обработке и защите персональных данных субъекта.
8. Порядок обработки обращений и запросов субъектов
8.1. При обращении либо письменном запросе субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Министерство руководствуется требованиями статей 14, 18 и 20 Федерального закона №152-ФЗ;
8.2. Доступ субъекта персональных данных или его законного представителя к своим персональным данным Министерства предоставляет только под контролем ответственного за организацию обработки персональных данных Министерства.
8.3. Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
8.4. Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.
8.5. В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона №152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.
8.6. Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает сотрудника (сотрудников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.
8.7. Сведения о наличии персональных данных Министерство предоставляет субъекту персональных данных в доступной форме, и в них
не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.
8.8. Сведения о наличии персональных данных должны быть предоставлены субъекту при ответе на запрос в течение тридцати дней от даты получения запроса субъекта персональных данных или его законного представителя.
9. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных
9.1. Оценкой вреда, который может быть причинен субъектам персональных данных, в случае нарушения требований по обработке и обеспечению безопасности персональных данных является определение юридических или иным образом затрагивающих права и законные интересы последствий в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных.
9.2. К юридическим последствиям относятся случаи возникновения, изменения или прекращения личных либо имущественных прав субъектов персональных данных или иным образом затрагивающие их права, свободы
и законные интересы.
9.3. В целях недопущения нарушения и обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также определения соотношения вреда, который может быть причинен субъектам персональных данных при обработке персональных данных должны определяться и документально оформляться все возможные юридические или иным образом затрагивающие права и законные интересы последствия, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных.
9.4. Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в Министерстве утверждаются приказом Министра топлива и энергетики Республики Крым.
10. Обязанности лиц, допущенных к обработке персональных данных
10.1. Лица, допущенные к работе с персональными данными, обязаны:
знать законодательство Российской Федерации в области обработки и защиты персональных данных, нормативные документы Министерства по защите персональных данных;
сохранять конфиденциальность персональных данных;
обеспечивать сохранность закрепленных за ними носителей персональных данных;
контролировать срок истечения действия согласий на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки персональных данных;
докладывать своему непосредственному руководителю структурного подразделения обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.
11. Ответственность сотрудника за нарушение норм, регулирующих обработку и защиту персональных данных субъектов
11.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности.
11.2. К данным лицам могут быть применены следующие дисциплинарные взыскания:
замечание;
выговор;
увольнение.
11.3. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
11.4. Копия приказа о применении к сотруднику дисциплинарного взыскания с указанием оснований его применения вручается сотруднику под расписку в течение трех рабочих дней со дня издания приказа.
11.5. Если в течение года со дня применения дисциплинарного взыскания сотрудник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Министерство до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с сотрудника по собственной инициативе, по письменному заявлению сотрудника или по ходатайству его непосредственного руководителя.
12. Контроль обеспечения безопасности персональных данных
12.1. Целью контроля является соблюдение структурными подразделениями Министерства, эксплуатирующими информационные системы и обрабатывающими персональные данные без средств автоматизации, требований по обеспечению безопасности персональных данных.
12.2. Задачами контроля являются:
установление фактического положения дел по обеспечению безопасности персональных данных при их обработке;
выявление проблемных вопросов в организации обеспечения безопасности персональных данных;
обеспечение соблюдения законодательства Российской Федерации в области персональных данных;
выработка мер по оказанию методической и практической помощи структурным подразделениям Министерства, эксплуатирующим информационные системы и обрабатывающими персональные данные без средств автоматизации.
13. Порядок действий в случае запросов надзорных органов
13.1. В соответствии с частью 4 статьи 20 Федерального закона №152-ФЗ Министерство сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 дней с момента получения такого запроса.
13.2. Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением сотрудников Министерства.
13.3. В течение установленного законодательством срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.
Приложение №1 к Положению
Форма разъяснений субъекту персональных данных юридических последствия отказа предоставить его персональные данные
Кому: ___________________________
________________________________
Адрес: __________________________
________________________________
РАЗЪЯСНЕНИЯ
юридических последствий отказа предоставить персональные данные
Уважаемый(ая) _____________________________________________________,
уведомляем Вас о том, что оператору персональных данных Министерству топлива и энергетики Республики Крым, юридический адрес: 295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69, требуется получить следующие персональные данные:
__________________________________________________________________________
(перечень персональных данных)
на основании следующих федеральных законов:
_________________________________________________________________________.
(перечень документов)
В случае отказа предоставить перечисленные персональные данные:
__________________________________________________________________________
(перечень юридических последствий)
_________________________________________________________________________.
_________________________
___________________________
_____________
(должность)
(Ф.И.О.)
(подпись)
Приложение №2 к Положению
Обязательство о неразглашении персональных данных
Я, _________________________________________________________________, паспорт серии ________, номер _______________, выданный __________________________________________________________________________ "___"___________ ____ года, понимаю, что получаю доступ к персональным данным:
физических лиц или их уполномоченных представителей, обратившихся в Министерство топлива и энергетики Республики Крым с запросом на предоставление государственной или муниципальной услуги (далее – заявители);
иных лиц, если для получения государственной или муниципальной услуги необходимо получить документы или информацию об ином лице, не являющемся заявителем, или получателем услуги является иное лицо, не являющееся заявителем;
работников Министерства топлива и энергетики Республики Крым;
соискателей вакансий Министерства топлива и энергетики Республики Крым;
уволенных работников Министерства топлива и энергетики Республики Крым;
членов семей работников Министерства топлива и энергетики Республики Крым;
контрагентов Министерства топлива и энергетики Республики Крым;
работников организаций, занимающих рабочие места в операционном зале Министерства топлива и энергетики Республики Крым.
Я понимаю, что во время исполнения своих должностных обязанностей, мне приходится заниматься обработкой персональных данных. Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных, как прямой, так и косвенный. В связи с этим, даю обязательство, при обработке персональных данных соблюдать все описанные в Положении о порядке обработки и защиты персональных данных в Министерстве топлива и энергетики Республики Крым требования.
Я подтверждаю, что не имею права разглашать сведения, составляющие персональные данные. Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я могу быть привлечен(а) к дисциплинарной и материальной ответственности в порядке, установленном в Трудовом кодексе РФ и иными федеральными законами, а также привлечен(а) к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
«__» __________ 20__ г. _____________ (__________________________)
(подпись, расшифровка подписи)
Приложение №3 к Положению
Согласие субъекта (иного лица, не являющегося заявителем) на обработку его персональных данных
Министерству топлива и энергетики Республики Крым
295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69
Согласие на обработку персональных данных
В соответствии с требованиями части 3 статьи 7 Федерального закона от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», части 4 статьи 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
я, ___________________________________________________________, паспорт серии ______, номер ______________, выданный __________________________________________________________________________ "___"____________ _______ года, проживающий(ая) по адресу: _________________________________________________________________________, даю согласие Министерству топлива и энергетики Республики Крым, юридический адрес: 295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69, на обработку моих персональных данных, а именно:
фамилия, имя, отчество;
сведения о документе, удостоверяющем личность;
контактная информация;
дата и место рождения;
паспортные данные;
пол;
место жительства;
данные миграционной карты;
сведения о регистрации;
данные разрешения на временное проживание;
ИНН;
номер страхового свидетельства государственного пенсионного страхования;
сведения о детях и родственниках;
иные сведения, предусмотренные трудовым законодательством и законодательством об организации предоставления государственных и муниципальных услуг.
Целью обработки персональных данных является предоставление государственных и муниципальных услуг.
Согласен(а) на предоставление моих персональных данных органам, предоставляющим государственные услуги, органам, предоставляющими муниципальные услуги, иным государственным органам, органам местного самоуправления, подведомственным государственным органам или органам местного самоуправления организациям, участвующим в предоставлении государственных и муниципальных услуг.
Настоящее согласие предоставляется на совершение следующих действий (операций) с моими персональными данными: сбор (в том числе у определенного круга третьих лиц, без уведомления меня об этом), систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, предоставление (в том числе передачу определенному кругу третьих лиц для достижения вышеуказанных целей), обезличивание, блокирование, удаление, уничтожение. Оператор вправе обрабатывать мои персональные данные как с использованием средств автоматизации, так и без использования таких средств.
Я подтверждаю, что ознакомлен(а) с требованиями законодательства Российской Федерации, устанавливающими порядок обработки персональных данных, с политикой Министерства топлива и энергетики Республики Крым в отношении обработки персональных данных, а также с моими правами и обязанностями в этой области.
Я подтверждаю, что мне известно о праве отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес оператора. В случае моего отзыва согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без моего согласия при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Настоящее согласие дано мной ______________________________.
(дата)
Согласие действует_________________________________________________.
(срок действия)
«__» __________ 20__ г. _________________ (_________________________________)
(подпись, расшифровка подписи)
Принял: «__» __________ 20__ г. ______________ (_____________________________)
(подпись, расшифровка подписи)
Приложение №4 к Положению
Согласие субъекта (работника) на обработку его персональных данных
Я, _________________________________________________________________, паспорт серии ______, номер ________________, выданный __________________________________________________________________________ "___"_______________ __________ года, проживающий(ая) по адресу: _________________________________________________________________________, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 "О персональных данных" даю согласие Министерству топлива и энергетики Республики Крым, юридический адрес: 295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69, на обработку моих персональных данных, а именно:
фамилия, имя, отчество;
фотография;
контактная информация;
дата и место рождения;
информация о месте жительства;
паспортные данные;
пол;
гражданство;
должность;
данные разрешения на временное проживание;
номер страхового свидетельства государственного пенсионного страхования;
ИНН;
тарифная ставка/оклад;
семейное положение;
сведения о детях и родственниках;
сведения о воинском учете;
сведения об образовании;
сведения об аттестации и повышении квалификации;
сведения о трудовой деятельности;
сведения об отчислениях в ФНС, ПФР и ФСС;
реквизиты лицевого счета в банке;
сведения о доходах;
сведения о социальных льготах;
номер пропуска;
дата и время прихода/ухода.
Целями обработки персональных данных являются:
ведение кадрового делопроизводства;
начисление и выплата заработной платы, вознаграждений, премирования, материальной помощи;
начисление взносов в пенсионный фонд, фонд социального страхования;
начисление налога на доход физических лиц;
формирование отчетности для предоставления в государственные органы;
обеспечение общехозяйственной деятельности;
обеспечение экономической, физической, пожарной, информационной безопасности;
предотвращение конфликта интересов.
Настоящее согласие предоставляется на совершение следующих действий (операций) с моими персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (в том числе предоставление определенному кругу третьих лиц для достижения вышеуказанных целей), обезличивание, блокирование, удаление, уничтожение, осуществляемых как с использованием средств автоматизации (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка).
Согласен(а) на предоставление моих персональных данных следующим организациям:
банкам, с которыми заключены договоры на обслуживание по выплате денежных средств работникам;
Пенсионный Фонд, Фонд социального страхования, МИФНС.
Согласен(а) на размещение в общедоступных источниках, следующих моих персональных данных: фамилия, имя, отчество, должность, номер рабочего телефона.
Я подтверждаю, что ознакомлен(а) с требованиями законодательства Российской Федерации, устанавливающими порядок обработки персональных данных, с политикой Министерства топлива и энергетики Республики Крым в отношении обработки персональных данных, а также с моими правами и обязанностями в этой области.
Согласие вступает в силу со дня его подписания на период не менее, чем срок хранения документов, установленный архивным законодательством. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
«__» __________ 20__ г. _____________ (__________________________)
Приложение №5 к Положению
Согласие субъекта (контрагента – физического лица) на обработку его персональных данных
Я, _________________________________________________________________, паспорт серии ______, номер ________________, выданный __________________________________________________________________________ "___"_______________ __________ года, проживающий(ая) по адресу: _________________________________________________________________________, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 "О персональных данных" даю согласие Министерству топлива и энергетики Республики Крым, юридический адрес: 295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69, на обработку моих персональных данных, а именно:
фамилия, имя, отчество;
контактная информация;
сведения о месте жительства;
паспортные данные;
ИНН;
реквизиты лицевого счета в банке;
сведения о доходах.
Целью обработки персональных данных является оформление и исполнение договорных обязательств.
Настоящее согласие предоставляется на совершение следующих действий (операций) с моими персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (в том числе предоставление определенному кругу третьих лиц для достижения вышеуказанных целей), блокирование, удаление, уничтожение, осуществляемых как с использованием средств автоматизации (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка).
Согласен(а) на предоставление моих персональных данных следующим организациям:
банкам, с которыми заключены договоры на обслуживание по выплате денежных средств работникам;
Наименование обслуживающей организации с целью программно-технического сопровождения.
Я подтверждаю, что ознакомлен(а) с требованиями законодательства Российской Федерации, устанавливающими порядок обработки персональных данных, с политикой Министерства топлива и энергетики Республики Крым в отношении обработки персональных данных, а также с моими правами и обязанностями в этой области.
Согласие вступает в силу со дня его подписания на период не менее чем срок хранения документов, установленных архивным законодательством. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
«__» __________ 20__ г. _____________ (__________________________)
(подпись, расшифровка подписи)
Приложение №6 к Положению
Согласие субъекта (работника организации, занимающей рабочее место в операционном зале) на обработку его персональных данных
Я, _________________________________________________________________, паспорт серии ______, номер ________________, выданный __________________________________________________________________________ "___"_______________ __________ года, проживающий(ая) по адресу: __________________________________________, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 "О персональных данных" даю согласие Министерству топлива и энергетики Республики Крым, юридический адрес295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69., на обработку моих персональных данных, а именно:
фамилия, имя, отчество;
должность;
наименование организации;
номер пропуска;
дата и время прихода/ухода.
Целью обработки персональных данных является обеспечение физической, пожарной и информационной безопасности Министерства топлива и энергетики Республики Крым.
Настоящее согласие предоставляется на совершение следующих действий (операций) с моими персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, блокирование, удаление, уничтожение, осуществляемых как с использованием средств автоматизации (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка).
Я подтверждаю, что ознакомлен(а) с требованиями законодательства Российской Федерации, устанавливающими порядок обработки персональных данных, с политикой Министерства топлива и энергетики Республики Крым в отношении обработки персональных данных, а также с моими правами и обязанностями в этой области.
Согласие вступает в силу со дня его подписания на период не менее чем срок хранения документов, установленных архивным законодательством. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
«__» __________ 20__ г. _____________ (__________________________) (подпись, расшифровка подписи)
Приложение №7 к Положению
Отзыв согласия на обработку персональных данных
Я, ________________________________________________________________, паспорт серии ______, номер ________________, выданный __________________________________________________________________________ "___"_______________ __________ года, проживающий(ая) по адресу: _______________________________________________________________________, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 "О персональных данных" настоящим отзываю свое согласие, на обработку персональных данных, данное мной «__» _______ 20__ г. Министерству топлива и энергетики Республики Крым, юридический адрес: 295000, Республика Крым, г. Симферополь, ул. Набережная 60-летия СССР (ул. Гаспринского), 69. В связи с чем прошу прекратить обработку моих персональных данных и уничтожить их в установленный законом срок.
«__» __________ 20__ г. _____________ (__________________________)
(подпись, расшифровка подписи)
ЛИСТ ОЗНАКОМЛЕНИЯ
с приказом Министерства топлива и энергетики Республики Крым от ____________ № _______
«Об утверждении Положения о порядке обработки и защиты
персональных данных в Министерстве топлива и энергетики Республики Крым»
№ пп
Ф.И.О.
работника
Должность
работника
Дата
Подпись
об ознакомлении
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 09.02.2020 |
| Рубрики правового классификатора: | 120.000.000 Информация и информатизация |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
