Приложение. Положение об обработке и защите персональных данных в Управлении по регулированию тарифов и энергосбережению Пензенской области. Приказ Управления по регулированию тарифов и энергосбережению Пензенской области от 05.07.2011 N 60-од "Об утверждении Положения об обработке и защите персональных данных в Управлении по регулированию тарифов и энергосбережению Пензенской области"

Приложение
к приказу
Управления по регулированию
тарифов и энергосбережению
Пензенской области
от 5 июля 2011 г. N 60-од

Положение
об обработке и защите персональных данных в Управлении по регулированию тарифов и энергосбережению Пензенской области

1. Термины и определения

1.1. В настоящем Положении об обработке и защите персональных данных в Управлении по регулированию тарифов и энергосбережению Пензенской области (далее - Управление) используются основные понятия и термины, определённые Федеральными законами от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями) и от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями).

2. Общие положения

2.1. Целью Положения об обработке и защите персональных данных в Управлении (далее - Положение) является обеспечение защиты персональных данных в Управлении от несанкционированного доступа, неправомерного их использования или утраты.

2.2. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных отделов Управления.

2.3. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях; Гражданским Кодексом Российской Федерации, Уголовным Кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями), Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями), постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30.08.2002 N 282 (с последующими изменениями).

2.4. Обработка персональных данных в Управлении должна осуществляться на основе принципов, определённых в статье 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями).

2.5. Ответственным по разработке и выполнению мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Управления, а также координации работ по защите конфиденциальной информации определён отдел правового и информационного обеспечения Управления.

2.6. Начальники отделов Управления, производящих обработку персональных данных, являются ответственными за обработку и защиту персональных данных в своих подразделениях.

2.7. Отделами Управления, осуществляющими обработку персональных данных субъектов персональных данных являются:

- Отдел энергосбережения и отраслевых технологий;

- Отдел регулирования тарифов на топливно-энергетические ресурсы, услуги по их передаче и поставке;

- Отдел ценообразования на лекарственные средства, транспортные и коммунальные услуги;

- Отдел правового и информационного обеспечения;

- Старший специалист 1 разряда - главный бухгалтер.

2.8. В соответствии с частью 2 статьи 4 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями), Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (с последующими изменениями) в отделе правового и информационного обеспечения и обработка персональных данных ведется согласно нормам действующего законодательства.

2.9. В отделах Управления обработка персональных данных, содержащихся в информационных системах персональных данных либо извлеченных из таких систем, считается осуществляемой без использования средств автоматизации (неавтоматизированной), так как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека.

2.10. В отделе энергосбережения и отраслевых технологий, отделе регулирования тарифов на топливно-энергетические ресурсы, услуги по их передаче и поставке, отделе ценообразования на лекарственные средства, транспортные коммунальные услуги, отделе правового и информационного обеспечения при работе с обращениями граждан порядок обработки и защиты персональных данных организуется в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (с последующими изменениями) и настоящим Положением.

2.11. Методы и способы защиты информации, целесообразность их применения для обеспечения безопасности персональных данных в информационных системах, осуществляющих обработку персональных данных без использования средств автоматизации, определяются начальником Управления.

2.12. Настоящее Положение является обязательным для исполнения всеми сотрудниками Управления, имеющими доступ к персональным данным.

3. Порядок определения защищаемой информации

3.1. Порядок определения защищаемой информации в Управлении регламентируется Указом Президента Российской Федерации 06.03.1997 N 188 "Об утверждении перечня сведений конфиденциального характера" (с последующими изменениями), Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями), иными нормативными правовыми актами.

4. Условия сбора и обработки персональных данных

4.1. Сбор персональных данных может осуществляться как путем представления их самим субъектом, так и путем получения из иных источников. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники, допущенные к обработке персональных данных, должны сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.

4.2. Обработка персональных данных в Управлении может осуществляться только после получения согласия от субъекта персональных данных, составленного по форме согласно приложению N 1 к настоящему Положению или сформированного в информационной системе персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями). В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни субъекта (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны сотрудниками, допущенными к обработке персональных данных, только с его письменного согласия.

4.3. Управление, не имеет право получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

4.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.

4.5. Сотрудники, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме, согласно приложению N 2 к настоящему Положению.

5. Хранение и использование персональных данных

5.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

5.2. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

5.3. Перечень должностных лиц Управления, допущенных к пользованию личными делами, которые ведутся отделом правового и информационного обеспечения Управления по регулированию тарифов и энергосбережению Пензенской области, определён приложением N 3 к настоящему положению.

5.4. Список ответственных лиц в Управлении за обработку персональных данных, подлежащих защите, утверждается приказом Управления.

6. Передача персональных данных субъектов

6.1. Передача персональных данных субъекта возможна только с согласия субъекта или в случаях, предусмотренных законодательством.

6.2. При передаче персональных данных субъекта уполномоченные Управлением сотрудники должны соблюдать следующие требования:

- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, установленных федеральным законом;

- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;

- не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовых функций;

- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим защиты персональных данных;

- передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым кодексом, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.

6.3. Передача персональных данных от Управления или его представителей внешнему оператору может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

6.4. Не допускается отвечать на вопросы, связанные с передачей персональной данных по телефону или факсу.

7. Права субъектов по обеспечению защиты персональных данных, хранящихся в Управлении по регулированию тарифов и энергосбережению Пензенской области

7.1. В целях защиты персональных данных, хранящихся в Управлении, субъект имеет право:

- на полную информацию о своих персональных данных и обработке этих данных;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона;

- дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

- определять своих представителей для защиты своих персональных данных;

- на сохранение и защиту своей личной и семейной тайны;

- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев предусмотренных федеральным законодательством;

- требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- на обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

8. Требования к обработке и защите персональных данных в информационных системах Управления

8.1. Обработка персональных данных в отделах Управления организуется на основании постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

8.2. Защита персональных данных, осуществляемая в структурных подразделениях Управления, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были выполнены следующие требования:

- определены места хранения персональных данных (материальных носителей),

- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

- соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

8.3. Применяемые меры по защите персональных данных в отделах Управления должны быть направлены на:

- ограничение доступа персонала и посторонних лиц в помещения, где размещены информационные системы персональных данных и хранятся материальные носители персональных данных;

- организацию учёта и надёжного хранения материальных носителей персональных данных, их обращения, исключающее хищение, подмену и уничтожение;

8.4. Обработка персональных данных на базе автономных ПЭВМ в структурных подразделениях Управления должна быть основана на технологии обработки информации с использованием съемных накопителей информации большой ёмкости, которая предусматривает запись на съёмный накопитель прикладного программного обеспечения (или его части) и обрабатываемых персональных данных. В качестве устройств для работы по этой технологии могут быть использованы как встроенные (съёмные), так и выносные накопители на магнитных, магнито-оптических дисках различной конструкции. Одновременно может быть установлено несколько съемных накопителей информации большой ёмкости.

8.5. Порядок защиты персональных данных на базе автономных ПЭВМ в отделах Управления определен п. 5.5 "Специальных требований и рекомендаций по технической защите конфиденциальной информации", утвержденных приказом Гостехкомиссии России от 30.08.2002 N 282 (с последующими изменениями).

9. Порядок привлечения специализированных сторонних организаций к разработке информационных систем персональных данных и средств защиты информации Управления

9.1. Порядок привлечения специализированных сторонних организаций к разработке и эксплуатации новых информационных систем персональных данных, их задачи и функции на различных стадиях создания и эксплуатации определяются начальниками отделов Управления, у которых находится информационная система, исходя из особенностей информационных систем.

9.2. Для выбора и реализации методов и способов защиты информации в информационной системе Управлением может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

10. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных

10.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.

Должностные лица Управления, виновные в нарушении норм и требований действующего законодательства, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством.