Приложение к Приказу от 07.09.2012 г № 10-ПРС Правила
Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в службе государственного финансового контроля иркутской области
1.Настоящие Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в службе государственного финансового контроля Иркутской области (далее - Служба) разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", и иными нормативными правовыми актами Российской Федерации, регулирующими отношения в данной сфере деятельности (далее - Правила).
2.Настоящие Правила устанавливают единый порядок действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными в Службе, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в Службе.
3.Целью настоящих Правил является обеспечение защиты прав и свобод при обработке персональных данных сотрудников Службы, а также граждан, обратившихся в Службу (далее - субъект персональных данных), установление ответственных должностных лиц Службы, имеющих доступ к персональным данным, ответственности за невыполнение норм, регулирующих обработку и защиту персональных данных.
4.В настоящих Правилах используются основные понятия, установленные статьей 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).
5.Ответственные должностные лица Службы, должности которых предусматривают осуществление обработки персональных данных либо осуществление доступа к персональным данным (далее - ответственные лица Службы) определяются распоряжением Службы и в обязательном порядке под роспись знакомятся с приказом Службы, утверждающим перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами Службы, а также подписывают обязательство о неразглашении персональных данных по форме согласно приложению 1 к настоящим Правилам.
6.Обработка персональных данных в Службе осуществляется на основе принципов, установленных статьей 5 Федерального закона N 152-ФЗ.
7.Обработка персональных данных субъекта персональных данных осуществляется после:
1) получения письменного согласия субъекта персональных данных или его представителя на обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона N 152-ФЗ. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи".
Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации;
2) направления до начала обработки персональных данных уведомления в Управление федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона N 152-ФЗ;
3) принятия необходимых мер по обеспечению безопасности персональных данных.
8.При обработке персональных данных ответственные лица Службы обязаны соблюдать следующие требования:
1) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия в трудоустройстве, обучении и должностном росте, обеспечения личной безопасности сотрудников Службы и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества Службы;
2) персональные данные следует получать лично у субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом субъекта персональных данных заранее, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных;
3) запрещается получать, обрабатывать и приобщать к личному делу субъекта персональных данных не установленные Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации" и Федеральным законом N 152-ФЗ персональные данные об их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
4) при принятии решений, затрагивающих интересы субъекта персональных данных, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;
5) защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Службы в порядке, установленном Федеральным законом N 152-ФЗ и иными нормативными правовыми актами.
9.При передаче персональных данных ответственные лица Службы обязаны соблюдать следующие требования:
1) не сообщать персональные данные субъекта персональных данных без его письменного согласия для использования их в коммерческих целях;
2) предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные должны использоваться только в целях, для которых они сообщены, и требовать от этих лиц подтверждения о соблюдении требований;
3) передавать персональные данные субъекта персональных данных его представителю в порядке, установленном федеральными законами, и ограничивать эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения представителем его функций.
10.Передача персональных данных от Службы иному оператору персональных данных допускается в минимальных объемах, в целях выполнения задач, соответствующих объективной причине сбора этих данных, и только после заключения с этим оператором договора о соблюдении конфиденциальности.
11.Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.
12.Персональные данные и иные сведения, содержащиеся в личных делах сотрудников, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.
13.Ответственные лица Службы при обработке персональных данных с использованием информационных систем обязаны:
- принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;
- вести учет электронных носителей информации (включая резервные и архивные копии), осуществлять хранение документов, содержащих персональные данные, и электронных носителей информации в металлических шкафах или сейфах;
- производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с данными сведениями;
- соблюдать установленный порядок и правила доступа в информационные системы, не допускать передачу персональных кодов и паролей;
- принимать все необходимые меры к надежной сохранности кодов и паролей доступа к информационным системам;
- работать с информационными системами в объеме своих полномочий, не допускать их превышения;
- обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.
14.При работе на персональном компьютере, в том числе для доступа к информационным системам, запрещается:
- записывать значения кодов и паролей доступа;
- передавать коды и пароли доступа другим лицам;
- пользоваться в работе чужими кодами и паролями доступа;
- производить подбор кодов и паролей доступа других пользователей;
- записывать на электронные носители с персональными данными посторонние программы и данные;
- копировать данные на неучтенные электронные носители информации;
- выносить электронные носители с персональными данными за пределы департамента без согласования с директором департамента;
- покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств, блокирования доступа к персональному компьютеру;
- приносить, самостоятельно устанавливать и эксплуатировать на технических средствах любые программные продукты, не принятые к эксплуатации;
- открывать, разбирать, ремонтировать технические средства, вносить изменения в конструкцию, подключать нештатные блоки и устройства;
- передавать технические средства для ремонта и обслуживания сторонним организациям без извлечения носителей, содержащих персональные данные.
15.Обработка персональных данных субъекта в информационных системах Службы с использованием средств автоматизации осуществляется в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781.
16.Защита персональных данных сотрудников Службы обеспечивается мерами, включающими в себя охрану помещений, в которых ведется обработка персональных данных, содержащихся в личных делах, а также в электронном виде в информационных системах, контроль за соблюдением установленных требований, обеспечение режима безопасности в этих помещениях, обеспечение сохранности носителей персональных данных и средств их защиты, исключение несанкционированного проникновения или пребывания в этих помещениях посторонних лиц, контроль за эффективностью предусмотренных мер защиты.
17.Все документы, компакт-диски, флеш-накопители, содержащие персональные данные, подлежат уничтожению на основании актов только с применением соответствующих уничтожителей.
18.Служба при обработке персональных данных в информационных системах персональных данных обеспечивает:
1) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
2) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
3) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которых нарушается их функционирование;
4) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5) постоянный контроль за обеспечением уровня защищенности персональных данных.
19.Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
1) настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;
2) охраны и организации режима допуска в помещения Службы, предназначенные для обработки персональных данных;
3) документа, подтверждающего эффективность применяемых мер и средств защиты по нейтрализации актуальных угроз безопасности, определенных в частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных Службы;
4) утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации информационных систем персональных данных, инструкции пользователя, администратора по организации антивирусной защиты, парольной защиты автоматизированных систем и методических документов.
20.Обработка и защита персональных данных в информационных системах персональных данных Службы без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) осуществляется в соответствии с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687.
21.Неавтоматизированная обработка персональных данных осуществляется на бумажных носителях в виде документов и в электронном виде (файлы, базы данных) на электронных носителях информации.
22.При неавтоматизированной обработке персональных данных:
1) не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
2) персональные данные обособляются от иной информации, в частности, путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
3) документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
4) дела с документами, содержащими персональные данные, имеют внутренние описи документов с указанием цели обработки и категории персональных данных.
23.Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.
24.Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, со сроком хранения.
25.Личные дела сотрудников Службы хранятся в специальных металлических шкафах, которые в конце рабочего дня опечатываются.
Помещения (комнаты), в которых находятся шкафы, оборудованы охранной и пожарной сигнализацией, дверью с запорным устройством. По окончании рабочего дня указанные помещения опечатываются.
26.Личные дела уволенных сотрудников Службы хранятся в отделе государственной гражданской службы и делопроизводства Службы в течение 10 лет со дня увольнения, после чего передаются на хранение в государственный архив Иркутской области.
27.Должностные лица Службы, виновные в нарушении норм и требований действующего законодательства, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с законодательством Российской Федерации.
Начальник юридического отдела
С.О.ИВАНОВА