Приложение N 1. Правила обработки персональных данных в Министерстве спорта Калужской области. Приказ Министерства спорта и молодежной политики Калужской области от 30.06.2014 N 171-лс "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ними нормативными правовыми актами"

Информация об изменениях:

Приказом Министерства спорта Калужской области от 2 марта 2015 г. N 69-лс в настоящее приложение внесены изменения, вступающие в силу после государственной регистрации со дня официального опубликования названного приказа

См. текст приложения в предыдущей редакции

Приложение N 1
к приказу
Министерства спорта
и молодежной политики
Калужской области
от 30 июня 2014 г. N 171-лс

Правила
обработки персональных данных в Министерстве спорта Калужской области

С изменениями и дополнениями от:

2 марта 2015 г.

1. Общие положения

1.1. Правила обработки персональных данных в министерстве спорта Калужской области (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Правила разработаны в соответствии с постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.3. Министерство спорта Калужской области (далее - министерство) при осуществлении обработки персональных данных берет на себя обязательство не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.4. Министерство не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

1.5. Осуществление трансграничной передачи персональных данных министерством не осуществляется.

1.6. Право доступа к персональным данным имеют:

- министр спорта и молодежной политики Калужской области (далее - министр);

- государственные гражданские служащие и работники, замещающие должности, не являющиеся должностями государственной гражданской службы министерства (далее - сотрудники) в соответствии с должностными регламентами (должностными инструкциями);

- руководители подразделений министерства (доступ к персональным данным только сотрудников своего подразделения).

1.7. Обработка персональных данных в министерстве осуществляется путем смешанной обработки персональных данных (сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) с использованием средств автоматизации и без их использования с передачей по внутренней сети и сети Интернет.

2. Основные определения

2.1. В Правилах используются основные понятия, определенные Федеральным законом "О персональных данных".

2.2. Машинные носители персональных данных - это предметы, изготовленные из материалов с определенными физическими свойствами, которые могут быть использованы для записи и хранения информации и обеспечивают совместимость с устройствами записи-считывания данных.

3. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в том числе установленные статьей 19 Федерального закона "О персональных данных"

3.1. Осуществление хранения персональных данных (документов, содержащих персональные данные, а также других материальных носителей персональных данных) в специально оборудованных шкафах или сейфах, которые запираются на ключ.

3.2. Реализация разрешительной системы допуска к работе в информационных системах персональных данных, включающей в себя перечень лиц, имеющих самостоятельный доступ, перечень защищаемых информационных ресурсов и матрицу разграничения доступа к защищаемым ресурсам.

3.3. Внесение требований об обеспечении конфиденциальности в заключаемые договорные взаимоотношения, в рамках которых выполняется передача персональных данных третьей стороне.

3.4. Соблюдение порядка получения и передачи персональных данных.

3.4.1. Условием обработки персональных данных субъекта персональных данных является его письменное согласие. Согласия субъекта на обработку его персональных данных не требуется в случаях, предусмотренных Федеральных законом "О персональных данных".

3.4.2. Письменное согласие субъекта персональных данных на получении его персональных данных у третьей стороны оформляется согласно установленной форме (приложение N 1 к Правилам). Обязанность по получении от субъекта персональных данных письменного согласия возлагается на сотрудника министерства, осуществляющего получение персональных данных.

3.4.3. Отзыв субъектом персональных данных согласия на обработку его персональных данных оформляется согласно установленной форме (приложение N 2 к Правилам).

3.4.4. Передача персональных данных возможна при наличии письменного согласия субъекта персональных данных на передачу его персональных данных третьей стороне (приложение N 3 к Правилам). Исключения составляют случаи, предусмотренные Федеральным законом "О персональных данных". Обязанность по получению письменного согласия субъекта персональных данных на передачу его персональных данных третьей стороне возлагается на сотрудника министерства, осуществляющего передачу персональных данных третьей стороне. Факт передачи персональных данных третьей стороне должен фиксироваться в журнале учета передачи персональных данных министерства (приложение N 4 к Правилам). Журнал учета передачи персональных данных министерства ведется подразделениями министерства самостоятельно.

3.5. Назначение лица, ответственного за организацию обработки персональных данных в министерстве.

3.6. Соблюдение порядка доступа к обработке персональных данных.

3.6.1. Ознакомление сотрудников министерства, допущенных к обработке персональных данных, с Правилами и другими локальными нормативными актами министерства в сфере обработки и защиты персональных данных. Журнал ознакомления сотрудников министерства с нормативными правовыми актами в сфере обработки и защиты персональных данных (приложение N 5 к Правилам) ведется лицом, ответственным за организацию обработки персональных данных.

3.6.2. Не допускается осуществление обработки персональных данных сотрудниками министерства, не подписавшими обязательство о неразглашении информации, содержащей персональные данные (приложение N 6 к Правилам), и в чьи должностные регламенты (должностные инструкции) не включен пункт об ответственности за разглашение персональных данных.

3.6.3. Доступ к обработке персональных данных в информационной системе персональных данных осуществляется путем подачи должностному лицу (работнику), ответственному за обеспечение безопасности персональных данных в информационной системе, заявки, согласованной с министром спорта и молодежной политики Калужской области. В заявке указываются: фамилия, имя, отчество сотрудника, которому требуется доступ к информационной системе персональных данных; должность сотрудника; инвентарный номер и местоположение персонального компьютера; требуемые информационные ресурсы. Должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе, готовит предложения по осуществлению технических мер защиты персональных данных и организует их реализацию.

3.7. Соблюдение правил обработки персональных данных в информационных системах персональных данных.

3.7.1. Администратор информационной системы персональных данных министерства действует согласно инструкции по выполнению функций администратора информационной системы персональных данных министерства спорта Калужской области (приложение N 7 к Правилам).

3.7.2. Должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе, действует согласно инструкции по выполнению функций по обеспечению безопасности персональных данных в информационных системах персональных данных министерства (приложение N 8 к Правилам).

3.7.3. Работы по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных являются неотъемлемой частью работ по созданию информационной системы персональных данных. Ввод в эксплуатацию информационных систем персональных данных без системы защиты запрещен.

3.7.4. Периодичность и порядок резервирования обрабатываемой информации в информационной системе персональных данных определяется администратором информационной системы персональных данных по согласованию с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных в информационных системах. Материальные носители данных, на которые осуществляется резервирование информации, должны быть учтены и храниться в порядке, установленном Правилами.

3.7.5. Неизменность технических и программных средств обеспечивается с помощью технического паспорта на информационную систему персональных данных. Ведение технического паспорта информационной системы персональных данных возлагается на должностное лицо (работника), ответственное за обеспечение безопасности персональных данных в информационных системах.

3.7.6. Запрещается установка программного обеспечения, предоставляющего доступ к информационной системе персональных данных, на автоматизированные рабочие места без требуемых средств защиты, которые определены в техническом паспорте информационной системы персональных данных.

3.8. Соблюдение пропускного режима в министерстве.

3.8.1. Мероприятия, требования и правила, определяющие порядок доступа в здание министерства, на прилегающую охраняемую территорию и обратно работников организаций, находящихся в задании, посетителей, транспорта, ввоза (вывоза), вноса (выноса) документов, материальных ценностей, а также установленный порядок обеспечения сохранности ценностей установлены инструкцией о пропускном режиме в административном здании по адресу: г. Калуга, ул. Пролетарская, 111.

3.9. Учет машинных носителей персональных данных.

3.9.1. В информационных системах персональных данных министерства допускается использование только учтенных машинных носителей персональных данных.

3.9.2. Учет машинных носителей персональных данных, предназначенных для записи персональных данных, производится должностным лицом (работником), ответственным за обеспечение безопасности персональных данных в информационных системах Администрации в журнале учета и выдачи машинных носителей персональных данных министерства (приложение N 9 к Правилам). На машинном носителе персональных данных проставляется пометка "для служебного пользования" и регистрационный номер в журнале учета и выдачи машинных носителей персональных данных.

3.9.3. Вынос машинных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения министра.

3.9.4. В случае утраты или уничтожения машинных носителей персональных данных либо разглашения содержащихся в них сведений немедленно ставится в известность руководитель соответствующего подразделения министерства. На утраченные машинные носители персональных данных составляется акт. Отметка об утрате машинного носителя персональных данных проставляется в журнале учета и выдачи машинных носителей персональных данных. Акт утраты машинного носителя персональных данных хранится вместе с журналом учета и выдачи машинных носителей персональных данных.

3.9.5. Машинные носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. Уничтожение машинных носителей персональных данных, предназначенных для записи персональных данных, оформляется актом уничтожения машинных носителей данных (приложение N 10 к Правилам) комиссией, созданной на основании приказа министра. Отметка об уничтожении машинного носителя проставляется в журнале учета и выдачи машинных носителей персональных данных. Акт уничтожения машинных носителей персональных данных хранится вместе с журналом учета и выдачи машинных носителей персональных данных.

3.10. Учет применяемых средств защиты информации.

3.10.1. Должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационных системах министерства, ведет учет применяемых средств защиты информации в журнале учета сертифицированных средств защиты информации, эксплуатационной и технической документации к ним министерства (приложение N 11 к Правилам) и в журнале учета средств криптографической защиты информации, эксплуатационной и технической документации к ним министерства (приложение N 12 к Правилам).

3.11. Исполнение сотрудниками министерства своих обязанностей, направленных на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных.

3.11.1. Сотрудники министерства обязаны выполнять требования, установленные законодательством Российской Федерации в области персональных данных и Правилами.

3.11.2. Подразделение министерства в порядке, указанном Правилами, определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

3.11.3. К Правилам прилагаются сводные таблицы с информацией об обработке персональных данных без использования средств автоматизации и информацией об обработке персональных данных в информационных системах персональных данных.

3.11.4. По запросу лица, ответственного за организацию обработки персональных данных, руководители подразделений министерства предоставляют информацию об обработке персональных данных, осуществляемой без использования средств автоматизации, и при обработке в информационных системах персональных данных. О произошедших изменениях предоставляемой информации, касающейся обработки персональных данных, руководители подразделений министерства сообщают лицу, ответственному за организацию обработки персональных данных.

3.11.5. Руководители подразделений министерства, а также лицо, ответственное за организацию обработки персональных данных в министерстве, имеют право проводить внутренний контроль соответствия обработки персональных данных в министерстве требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными нормативными актами министерства. Руководители подразделений министерства проводят внутренний контроль в подчиненном подразделении.

3.11.6. Исполнение сотрудниками министерства положений руководства пользователя информационной системы персональных данных (приложение N 13 к Правилам).

3.12. Соблюдение правил разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.

3.12.1. В случаях: отказа субъекта персональных данных предоставить согласие на обработку его персональных данных; отказа субъекта персональных данных на получение его персональных данных у третьей стороны; отказа на передачу персональных данных третьей стороне; отзыва субъектом персональных данных ранее данного им согласия (далее - случаи отказа субъекта персональных данных предоставить свои персональные данные) субъекту персональных данных должны быть разъяснены юридические последствия по форме (приложение N 11 к приказу).

3.12.2. В случае отказа субъекта персональных данных в предоставлении своих персональных данных субъекту персональных данных сообщается следующее:

а) цель обработки персональных данных;

б) нормативные правовые акты, на основании которых собираются и обрабатываются его персональные данные;

в) выполнение министерством при обработке персональных данных необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

г) виды юридической ответственности, предусмотренной в отношении лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных;

д) разъяснения юридических последствий отказа субъектом персональных данных предоставить свои персональные данные либо отзыва субъектом персональных данных согласия на обработку его персональных данных.

3.12.3. Оформление отказа субъекта персональных данных предоставить свои персональные данные.

3.12.3.1. Заявление субъекта персональных данных об отказе предоставить министерству свои персональные данные может быть подано согласно установленной форме (приложение N 14 к Правилам).

3.12.3.2. Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные заполняется сотрудником министерства, осуществляющим разъяснение субъекту персональных данных юридических последствий отказа субъектом персональных данных предоставить свои персональные данные. Разъяснение субъекту персональных данных юридических последствий отказа субъекта персональных данных в предоставлении своих персональных данных осуществляют сотрудники подразделений министерства ответственные за обработку персональных данных. В качестве оснований обработки персональных данных указываются конкретные статьи нормативных правовых актов, на основании которых собираются и обрабатываются персональные данные субъекта персональных данных. Юридическими последствиями отказа субъекта персональных данных в предоставлении своих персональных данных указываются юридические последствия, возникающие в соответствии с нормативными правовыми актами, на основании которых собираются и обрабатываются персональные данные субъекта персональных данных.

4. Цели обработки; содержание обрабатываемых персональных данных; категории субъектов, персональные данные которых обрабатываются; сроки их обработки и хранения; порядок уничтожения

4.1. Цели обработки персональных данных.

4.1.1. Обработка персональных данных в министерстве осуществляется в целях реализации функций и осуществления полномочий, возложенных на министерство.

4.1.2. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.1.3. Содержание, объем и иные характеристики персональных данных должны соответствовать цели обработки персональных данных.

4.2. Содержание обрабатываемых персональных данных.

Содержание обрабатываемых персональных данных не должно превышать заявленных целей обработки персональных данных.

4.3. Категории субъектов, персональные данные которых обрабатываются.

Не допускается обработка персональных данных категорий субъектов, не соответствующих заявленным целям обработки персональных данных.

4.4. Условия прекращения обработки персональных данных.

Условиями прекращения обработки персональных данных в министерстве являются:

- прекращение служебного контракта (трудового договора) с субъектом персональных данных;

- изменение нормативной правовой базы, на основании которой ведется обработка персональных данных;

- другие причины, предусмотренные действующим законодательством.

4.5. Срок обработки персональных данных.

Обработка персональных данных ограничивается достижением конкретных заранее определенных и законных целей.

4.6. Хранение и уничтожение персональных данных.

4.6.1. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном законодательством об архивном деле в Российской Федерации.

4.6.2. В случае, если законодательство об архивном деле в Российской Федерации не предусматривает порядка организации хранения, комплектования, учета и использования содержащих персональные данные документов, то в отношении таких документов применяются нормы законодательства о персональных данных.

4.6.3. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.