Приложение к Приказу от 17.09.2012 г № 46Н-МПР Правила
Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в министерстве финансов иркутской области
1.Правила обработки персональных данных (далее - правила) в министерстве финансов Иркутской области (далее - Министерство) определяют порядок получения, обработки, хранения, передачи и любого другого использования персональных данных.
2.Обработка персональных данных в Министерстве осуществляется отделом государственной гражданской службы и кадровой работы в управлении правовой и организационной работы и отделом исполнения бюджета и сметы (далее - сотрудники, обрабатывающие персональные данные).
Лица, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения должностных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного правовым актом Министерства. Указанные лица предупреждаются об ответственности за нарушение законодательства Российской Федерации о персональных данных и дают обязательство о неразглашении информации, содержащей персональные данные, в письменной форме в соответствии с типовым обязательством о неразглашении информации, содержащей персональные данные.
Правовым актом Министерства утверждается список лиц, в чьем ведении находятся информационные системы персональных данных и ответственных за обеспечение безопасности персональных данных в указанных информационных системах.
3.Получение, обработка, хранение, передача и любое другое использование персональных данных сотрудников министерства осуществляются в целях реализации трудовых отношений, обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, в соответствии с Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и защите информации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Трудовым кодексом Российской Федерации, другими федеральными законами, Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего и ведении его личного дела", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", иными нормативными правовыми актами Российской Федерации, Уставом Иркутской области, Законом Иркутской области от 4 апреля 2008 года N 2-оз "Об отдельных вопросах государственной гражданской службы Иркутской области", другими законами Иркутской области и иными нормативными правовыми актами Иркутской области.
4.Субъектами персональных данных в Министерстве являются:
1) лица, замещающие должности государственной гражданской службы;
2) лица, замещающие должности, не являющиеся должностями государственной гражданской службы Иркутской области;
3) вспомогательный персонал;
4) лица, претендующие на замещение должностей государственной гражданской службы Министерства;
5) лица, состоящие в кадровом резерве Министерства;
6) лица, ранее состоявшие на гражданской службе (в трудовых отношениях) в Министерстве, личные дела которых не переданы на хранение в государственный архив Иркутской области;
7) супруги и несовершеннолетние дети лиц, замещающих (претендующих на замещение) должностей государственной гражданской службы Иркутской области в Министерстве, входящих в перечень должностей при назначении на которые и при замещении которых гражданское служащие обязаны предоставлять сведения о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей;
8) лица, проходящие производственную практику в Министерстве.
5.Обработка персональных данных при осуществлении кадровой работы в Министерстве представляет собой любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, осуществляемые в следующих случаях:
1) формирование кадрового состава на государственной гражданской службе Иркутской области для замещения должностей государственной гражданской службы Иркутской области в Министерстве;
2) ведение трудовых книжек сотрудников Министерства;
3) ведение личных дел сотрудников Министерства;
4) ведение реестра государственных гражданских служащих Иркутской области в Министерстве;
5) оформление и выдача удостоверений сотрудникам Министерства;
6) обеспечение деятельности комиссии по соблюдению требований к служебному поведению гражданских служащих и урегулированию конфликтов интересов в Министерстве;
7) обеспечение проведения конкурсов на замещение вакантных должностей государственной гражданской службы Иркутской области в Министерстве и на включение государственных гражданских служащих Иркутской области в кадровый резерв на государственной гражданской службе Иркутской области Министерства;
8) обеспечение проведения аттестации государственных гражданских служащих Иркутской области в Министерстве;
9) обеспечение проведения квалификационных экзаменов государственных гражданских служащих в Министерстве;
10) организация дополнительного профессионального образования государственных гражданских служащих Иркутской области в Министерстве;
11) формирование кадрового резерва на государственной гражданской службе Иркутской области Министерства и организация работы с кадровым резервом Министерства;
12) организация проверки достоверности представляемых лицами, указанными в подпунктах 1, 4, 5 пункта 4 настоящего Положения, персональных данных и иных сведений;
13) организация проведения служебных проверок;
15) организация проверки сведений о доходах, об имуществе и обязательствах имущественного характера, представляемых лицами, указанными в подпунктах 1, 4 пункта 4 настоящего Положения, которые в соответствии с законодательством Российской Федерации обязаны представлять сведения о доходах, об имуществе и обязательствах имущественного характера, а также соблюдение государственными гражданскими служащими Иркутской области в Министерстве ограничений, установленных федеральными законами;
16) подготовка архивных справок.
6.При получении, обработке персональных данных лица, уполномоченные на получение, обработку и любое другое использование персональных данных, обязаны соблюдать следующие требования:
а) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, законодательства Российской Федерации в области персональных данных, других федеральных законов и иных нормативных правовых актов Российской Федерации, содействия в трудоустройстве, обучении и должностном росте, обеспечения личной безопасности сотрудников и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества Министерства;
б) персональные данные следует получать лично у сотрудников, в случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом сотрудников заранее, получить их письменное согласие и сообщить сотрудникам о целях, предполагаемых источниках и способах получения персональных данных. При работе с документами, содержащими персональные данные, сотрудникам, обрабатывающим персональные данные, запрещается вносить изменения в документы, содержащие персональные данные, без предъявления субъектом персональных данных документов, подтверждающих данное изменение. В случае невозможности документально подтвердить изменение, которое требуется внести, субъект персональных данных подтверждает правильность внесенных изменений своей подписью;
в) запрещается обрабатывать и приобщать к личному делу сотрудников не установленные Федеральными законами N 79-ФЗ и N 152-ФЗ, Трудовым кодексом персональные данные об их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
г) при принятии решений, затрагивающих интересы сотрудников, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки;
д) защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Министерства в порядке, установленном Федеральным законом N 152-ФЗ и иными нормативными правовыми актами Российской Федерации;
е) передача персональных данных третьей стороне не допускается без письменного согласия субъектов персональных данных, за исключением случаев, установленных законодательством Российской Федерации в области персональных данных.
7.Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
8.Контроль за реализацией требований по обеспечению безопасности персональных данных в информационных системах возлагается на ответственного за организацию обработки персональных данных, назначаемого распоряжением Министерства.
9.При обработке персональных данных в информационных системах в соответствии с постановлением Правительства Российской Федерации N 781 должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) осуществление постоянного контроля над обеспечением уровня защищенности персональных данных.
10.Персональные данные и иные сведения, содержащиеся в личных делах сотрудников, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.
11.Документы, содержащие персональные данные, хранятся в Министерстве с соблюдением предусмотренных нормативными правовыми актами Российской Федерации и настоящим Положением мер по защите персональных данных.
Документы, содержащие персональные данные, отнесенные к сведениям, составляющим государственную тайну, хранятся у мобилизационных работников Министерства в соответствии с законодательством Российской Федерации о государственной тайне.
12.Срок хранения документов, содержащих персональные данные лиц, указанных в пункте 4 настоящего Положения, определяется в соответствии с Приказом Министерства культуры Российской Федерации от 25 августа 2010 года N 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения".
13.Документы, содержащие персональные данные, утратившие свое практическое значение и не имеющие исторической ценности, уничтожаются в следующих случаях:
1) по истечении установленного срока хранения по акту в порядке, установленном правовыми актами Иркутской области;
2) при достижении целей обработки персональных данных;
3) при отзыве субъектом персональных данных согласия на обработку его персональных данных, если обработка персональных данных невозможна без согласия субъекта персональных данных;
4) невозможно обеспечить правомерность обработки персональных данных.
14.В случаях, предусмотренных подпунктами 2 - 3 пункта 13 настоящего Положения, уничтожение персональных данных осуществляется в срок, не превышающий тридцати дней со дня блокирования персональных данных, если иное не предусмотрено соглашением с субъектом персональных данных либо если уполномоченные должностные лица не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных.
В случае, предусмотренном подпунктом 4 пункта 13 настоящего Положения, уничтожение персональных данных осуществляется в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных.
15.В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пункте 14 настоящего Положения, уполномоченные должностные лица осуществляют блокирование таких персональных данных и обеспечивают уничтожение персональных данных не позднее шести месяцев со дня блокирования персональных данных, если иной срок не установлен федеральными законами.
16.Все документы, компакт-диски, флеш-накопители, содержащие персональные данные, подлежат уничтожению на основании актов (Приложение 1).
17.Защита персональных данных сотрудников Министерства обеспечивается мерами, включающими в себя охрану помещений, в которых ведется обработка персональных данных, а также в электронном виде в программе "Кадры КС", "1С:Предприятие", контроль за соблюдением установленных требований, обеспечение режима безопасности в этих помещениях, обеспечение сохранности носителей персональных данных и средств их защиты, исключение несанкционированного проникновения или пребывания в этих помещениях посторонних лиц, контроль за эффективностью предусмотренных мер защиты.
18.Руководители структурных подразделений Министерства, сотрудники которых осуществляют обработку персональных данных или доступ к ним, осуществляют непосредственный контроль за выполнением требований по защите персональных данных от несанкционированного доступа к ним, в том числе от копирования, записи конфиденциальных сведений на отчуждаемые и мобильные носители информации (ноутбуки, карманные персональные компьютеры, флеш-накопители, компакт-диски), их распространения, предоставления, использования или утраты.
19.Сотрудники Министерства, обрабатывающие персональные данные, в обязательном порядке под подпись знакомятся с настоящим Положением и дают обязательство о неразглашении информации, содержащей персональные данные, в письменной форме в соответствии с типовым обязательством о неразглашении информации, содержащей персональные данные.
20.В случаях, когда сотрудник Министерства, обрабатывающий персональные данные, временно (в связи с болезнью, отпуском или иными обстоятельствами) не может исполнять свои должностные обязанности и его обязанности временно возложены на иное должностное лицо, указанный сотрудник передает документы, содержащие персональные данные, лицу, на которое будет возложено исполнение его должностных обязанностей. В случаях, когда должностное лицо, на которое возложено исполнение указанных обязанностей, не давало обязательство о неразглашении информации, содержащей персональные данные, указанное лицо дает обязательство в письменной форме в соответствии с типовым обязательством о неразглашении информации, содержащей персональные данные.
21.При увольнении сотрудника Министерства, обрабатывающего персональные данные, документы, содержащие персональные данные, передаются руководителю структурного подразделения, где работал данный сотрудник.
22.Обеспечение безопасности персональных данных включает в себя следующие меры:
1) допуск к обработке персональных данных только сотрудников, обрабатывающих персональные данные, за исключением случаев, установленных пунктами 2 и 20 настоящего Положения;
2) осуществление работы сотрудников, обрабатывающих персональные данные, с информационными системами персональных данных и личными делами только в помещении, которое специально оборудовано для целей обработки персональных данных (далее - помещение);
3) ограничение доступа в помещение посторонних лиц;
4) обеспечение в Министерстве таких условий учета и хранения документов, содержащих персональные данные, которые исключают их хищение, подмену или уничтожение;
5) учет съемных машиночитаемых носителей, содержащих базы данных персональных данных;
6) защита персональных данных, содержащихся на машиночитаемых носителях, паролями доступа;
7) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) их несанкционированной передачи третьим лицам;
8) своевременное выявление и устранение нарушений требований по защите персональных данных;
9) обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
23.Вход в помещения разрешается постоянно работающим в них сотрудникам. Лица, не включенные в указанный список, могут находиться в помещении только в присутствии лиц, постоянно работающих в помещении.
24.В помещении должны располагаться закрывающиеся на ключ металлические шкафы и (или) сейфы, в которых осуществляется хранение документов, содержащих персональные данные. Помещение оборудуется системами охранной и противопожарной сигнализации.
25.Документы, содержащие персональные данные, должны охраняться путем контроля доступа в помещения посторонних лиц, наличия надежных препятствий для несанкционированного проникновения в помещения, особенно в нерабочее время.
26.В отсутствие сотрудника, обрабатывающего персональные данные, на его личном столе не должны находиться документы (копии документов), содержащие персональные данные.
27.Помещения в рабочее время при отсутствии в них сотрудников, обрабатывающих персональные данные, должны быть закрыты на ключ. В нерабочее время помещения закрываются на ключ, опечатываются и ставятся на сигнализацию.
28.Сотрудники Министерства при обработке персональных данных с использованием информационной системы "Кадры КС", "1С:Предприятие" обязаны:
- принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;
- вести учет электронных носителей информации (включая резервные и архивные копии), осуществлять хранение документов, содержащих персональные данные, и электронных носителей информации в металлических шкафах или сейфах;
- производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с данными сведениями;
- соблюдать установленный порядок и правила доступа в информационную систему "Кадры КС", "1С:Предприятие", не допускать передачу персональных кодов и паролей;
- принимать все необходимые меры к надежной сохранности кодов и паролей доступа к информационной системе "Кадры КС", "1С:Предприятие";
- работать с информационной системой в объеме своих полномочий, не допускать их превышения;
- обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.
29.При работе на персональном компьютере, в том числе для доступа к информационной системе "Кадры КС", "1С:Предприятие", сотрудникам, обрабатывающим персональные данные, запрещается:
- записывать значения кодов и паролей доступа;
- передавать коды и пароли доступа другим лицам;
- пользоваться в работе чужими кодами и паролями доступа;
- производить подбор кодов и паролей доступа других пользователей;
- записывать на электронные носители с персональными данными посторонние программы и данные;
- копировать данные на неучтенные электронные носители информации;
- выносить электронные носители с персональными данными за пределы Министерства без согласования с министром финансов Иркутской области;
- покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств, блокирования доступа к персональному компьютеру;
- приносить, самостоятельно устанавливать и эксплуатировать на технических средствах любые программные продукты, не принятые к эксплуатации;
- открывать, разбирать, ремонтировать технические средства, вносить изменения в конструкцию, подключать нештатные блоки и устройства;
- передавать технические средства для ремонта и обслуживания сторонним организациям без извлечения носителей, содержащих персональные данные.
30.Содержание и объем обрабатываемых персональных данных лиц, указанных в пункте 4 настоящего Положения, должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается объединение баз данных, содержащих персональные данные лиц, указанных в пункте 1 настоящего Положения, обработка которых осуществляется в целях, несовместимых между собой.
Начальник управления правовой
и организационной работы
Е.В.АФЕРЕНОК