Приложение N 1. Положение о порядке обработки и защите персональных данных в Департаменте природных ресурсов и охраны окружающей среды Вологодской области. Приказ Департамента природных ресурсов и охраны окружающей среды Вологодской области от 26.05.2010 N 244 "О порядке обработки и защите персональных данных" (утратил силу)

Приложение N 1

Положение
о порядке обработки и защите персональных данных в Департаменте природных ресурсов и охраны окружающей среды Вологодской области
(далее - Положение)
(утв. приказом Департамента природных ресурсов и охраны окружающей среды Вологодской области от 26 мая 2010 г. N 244)

Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2006 года N 152-ФЗ "О персональных данных" Трудовым кодексом Российской Федерации.

1. Общие положения

1.1. Положение определяет:

- правила обработки персональных данных в информационных системах персональных данных Департамента природных ресурсов и охраны окружающей среды Вологодской области далее (Департамент) с использованием средств автоматизации и без их использования;

- комплекс организационных и технических (перенаправленных на обеспечение режима конфиденциальности персональных данных граждан, претендующих на замещение должностей государственной гражданской службы области и иных должностей в Департаменте (далее - субъекты персональных данных).

1.2. В настоящем Положении используются термины и определения, установленные в Федеральном законе Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных".

1.3. Персональные данные субъектов персональных данных являются сведениями конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, -сведениями, составляющими государственную тайну.

1.4. Оператором информационных систем персональных данных в Департаменте, организующим и осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных, является Департамент. Функции по технической защите персональных данных возлагается на отдел мониторинга и НИР.

1.5. Оператор обязан принимать необходимые организационные и технические меры по обеспечению режима конфиденциальности обрабатываемых персональных данных, а также меры по защите персональных данных от несанкционированного уничтожения, изменения, блокирования и иных неправомерных действий.

1.6. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.

2. Требования безопасности информации в информационных системах персональных данных Департамента

2.1. Персональные данные субъектов персональных данных в Департаменте обрабатываются на бумажных и электронных носителях в специально предназначенных для этого помещениях, занимаемых структурными подразделениями Департамента, осуществляющими деятельность по эксплуатации информационных систем персональных данных.

2.2. Обязанности по обработке персональных данных, в том числе в автоматизированных информационных системах персональных данных, возлагаются на государственных гражданских служащих структурных подразделений Департамента в соответствии с распоряжениями начальника Департамента, служебными контрактами, заключаемыми с ними, и должностными регламентами.

2.3. Обработка персональных данных, порождающая юридические последствия в отношении субъекта персональных данных или иным образом затрагивающая его права и законные интересы, осуществляется без использования средств автоматизации. Обработка персональных данных в отношении каждого из субъектов персональных данных осуществляется при непосредственном участии лица, определенного в соответствии с пунктом 2.2 настоящего Положения.

2.4. В целях обеспечения безопасности персональных данных при их обработке должны быть:

- определены места хранения материальных носителей, содержащих персональные данные, соблюдены условия, обеспечивающие их сохранность и исключающие несанкционированный к ним доступ, в том числе с использованием средств опечатывания помещений, сейфов, шкафов и применения охранной и пожарной сигнализации;

- установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

- реализованы меры по раздельному хранению персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

2.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

2.6. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:

- утвержденных организационно-технических документов, установленных нормативно-правовыми актами в области защиты информации;

- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации, установленными уполномоченными федеральными органами исполнительной власти.

3. Порядок обработки персональных данных субъектов персональных данных

3.1. Обработка персональных данных лиц, претендующих на замещение должностей государственной гражданской службы области, иных должностей в Департаменте, осуществляется в следующем порядке:

3.1.1. Материальные носители, содержащие сведения, относящиеся к персональным данным, должны храниться в сейфах или шкафах, запирающихся на ключ. Ключи от сейфов и шкафов находятся у ответственных государственных гражданских служащих, осуществляющих обработку персональных данных, и не подлежат передаче не уполномоченным на то лицам.

Сейфы (металлические шкафы) с личными делами, трудовыми книжками и иными документами, содержащими персональные данные, находятся в специально оборудованных кабинетах, которые ежедневно после окончания рабочего дня опечатываются и ставятся на сигнализацию.

3.1.2. Персональные данные в течение всего периода прохождения государственной гражданской службы, работы хранятся в отделе организационно-правовой и кадровой работы Департамента, отделе учета и отчетности Департамента.

3.1.3. После увольнения лица с замещаемой должности его персональные данные, содержащиеся:

- на бумажных носителях - хранятся в отделе организационно-правовой и кадровой работы Департамента три года, в отделе учета и отчетности Департамента - пять лет, после чего передаются в архив Департамента для последующего хранения в архиве;

- в автоматизированных системах обработки персональных данных - хранятся в течение пяти лет и в последующем уничтожаются.

3.1.4. Персональные данные лиц, претендующих на замещение должностей государственной гражданской службы, иных должностей, хранятся в отделе организационно-правовой и кадровой работы в течение 3 лет с момента их получения, а затем уничтожаются.

3.2. Документы, содержащие персональные данные, обрабатываются в соответствии с федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, иными нормативными правовыми актами Российской Федерации и области, устанавливающими цели и порядок обработки персональных данных.

4. Доступ к информационным системам персональных данных

4.1. Доступ ко всем персональным данным, обрабатываемым в Департаменте имеют:

- лица, замещающие должности, а также исполняющие обязанности:

- начальника Департамента;

- заместителя начальника Департамента.

4.2. Доступ к персональным данным претендентов на замещение должностей государственной гражданской службы области, иных должностей в Департаменте помимо лиц, указанных в пункте 4.1 настоящего Положения, имеют:

- начальник отдела организационно-правовой и кадровой работы;

- начальник и специалисты отдела учета и отчетности;

- ведущий специалист отдела организационно-правовой и кадровой работы (специалист по кадрам);

- лица, входящие в состав соответствующих конкурсных комиссий, - в отношении претендентов, участвующих в конкурсе.

4.3. Доступ к персональным данным лиц, замещающих должности государственной гражданской службы области, иные должности в Департаменте помимо лиц, указанных в пункте 4.1 настоящего Положения, имеют:

лица, замещающие должности, а также исполняющие обязанности:

- начальник отдела организационно-правовой и кадровой работы;

- начальник и специалисты отдела учета и отчетности;

- ведущий специалист отдела организационно-правовой и кадровой работы (специалист по кадрам);

- лица, входящие в состав соответствующих аттестационных комиссий, комиссий по соблюдению требований к служебному поведению и урегулированию конфликта интересов, иных комиссий, образуемых в соответствии с Федеральным законом "О государственной гражданской службе Российской Федерации" от 27 июля 2004 года N 79-ФЗ, - в отношении рассматриваемых на соответствующих комиссиях персональных данных субъектов персональных данных.

4.4. Доступ к персональным данным иных физических лиц, представляемым в Департамент, помимо лиц, указанных в пункте 4.1 настоящего Положения, имеют:

- начальники структурных подразделений Департамента.

4.5. Доступ к информационным системам персональных данных и электронным носителям, на которых хранятся персональные данные, имеют также специально уполномоченные лица Департамента.

5. Распространение персональных данных субъектов персональных данных

5.1. Персональные данные могут распространяться в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.

Лица, указанные в пунктах 4.1 - 4.5 настоящего Положения, имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций, поручений, своих должностных обязанностей.

5.2. При распространении персональных данных субъектов персональных данных оператор должен соблюдать следующие требования:

5.2.1. Распространение (в том числе передача) персональных данных субъектов персональных данных осуществляется:

5.2.1.1. Лицам, которые в соответствии с пунктами 4.1 - 4.5 настоящего Положения имеют право доступа к персональным данным, по их запросу либо в случае направления им для рассмотрения соответствующих обращений граждан.

5.2.1.2. При согласовании проектов постановлений Правительства области, распоряжений, постановлений Губернатора области и договоров по кадровым вопросам (в отношении персональных-данных, необходимых для подготовки соответствующего проекта):

- лицам, указанным в пунктах 4.1 - 4.4 настоящего Положения;

- лицам, осуществляющим правовую и антикоррупционную экспертизу соответствующих проектов;

- иным заинтересованным лицам, с которыми согласовывается соответствующий проект.

5.2.1.3. Предоставление персональных данных третьей стороне осуществляется по письменному запросу и при получении письменного согласия субъекта персональных данных, за исключением случаев, когда представление персональных данных необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в других случаях, предусмотренных федеральными законами.

5.3. В случае обращения с запросом лица, не уполномоченного в соответствии с нормативными правовыми актами на получение персональных данных, либо отсутствия письменного согласия субъекта персональных данных на предоставление его персональных данных третьей стороне, либо отсутствия угрозы жизни и здоровью субъекта персональных данных оператор обязан отказать в предоставлении персональных данных.

5.4. Запрещается сообщать персональные данные субъектов персональных данных в коммерческих целях, в том числе в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации без письменного согласия субъекта персональных данных.

5.5. При передаче персональных данных оператор обязан предупредить в установленном порядке лиц, получающих персональные данные субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

5.6. В случае если оператор на основании договора поручает обработку или осуществляет передачу персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

5.7. При привлечении по договору к работам по обработке и (или) защите персональных данных сторонних юридических и (или) физических лиц обязательным условием допуска к проведению таких работ является подписание обя ательства о неразглашении информации с лицами, проводящими работы.

5.8. Трансграничная передача персональных данных на территорию иностранных государств может осуществляться оператором в соответствии со статьей 12 Федерального закона "О персональных данных" от 27 июля 2007 года N 152-ФЗ.

6. Ответственность за нарушение норм, регулирующих порядок хранения и распространения персональных данных.

Лица, виновные в нарушении норм, регулирующих порядок хранения и распространения персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном законодательством о государственной гражданской службе и трудовым законодательством, а также привлекаются к административной и уголовной ответственности в порядке, установленном федеральными законами.