Приложение N 1. Положение о порядке обработки и защите персональных данных в Комитете государственного заказа области. Приказ Комитета государственного заказа Вологодской области от 11.04.2014 N 39 "О реализации Федерального закона от 27.07.2006 N 152-ФЗ" (утратил силу)

(приложение N 1)

Положение
о порядке обработки и защите персональных данных в Комитете государственного заказа области
(далее - положение)
(утв. приказом Комитета государственного заказа Вологодской области от 11 апреля 2014 г. N 39)

Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2006 года N 152-ФЗ "О персональных данных", от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Трудовым кодексом Российской Федерации, указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлениями Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 17 ноября 2007 года N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

1. Общие положения

1.1. Положение определяет:

правила обработки персональных данных в информационных системах персональных данных Комитета с использованием средств автоматизации и без их использования;

комплекс организационных и технических мер, направленных на обеспечение режима конфиденциальности персональных данных государственных гражданских служащих Комитета, граждан, претендующих на замещение должностей государственной гражданской службы области в Комитете, а также иных физических лиц, персональные данные которых представлены в Комитет (далее - субъекты персональных данных).

1.2. В настоящем Положении используются термины и определения, установленные в Федеральном законе Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных".

1.3. Персональные данные субъектов персональных данных являются сведениями конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениями, составляющими государственную тайну.

1.4. Оператором информационных систем персональных данных в Комитете, организующим и осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных, является Комитет.

1.5. Оператор обязан принимать необходимые организационные и технические меры по обеспечению режима конфиденциальности обрабатываемых персональных данных, а также меры по защите персональных данных от несанкционированного уничтожения, изменения, блокирования и иных неправомерных действий.

1.6. Обработка персональных данных включает в себя действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных и осуществляется с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ.

1.7. Юридические и физические лица, в соответствии со своими полномочиями, владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством РФ.

2. Требования безопасности информации в информационных системах персональных данных Комитета

2.1. Персональные данные субъектов персональных данных в Комитете обрабатываются на бумажных и электронных носителях в специально предназначенных для этого помещениях, занимаемых специалистами Комитета, осуществляющими деятельность по эксплуатации информационных систем персональных данных.

2.2. Обязанности по обработке персональных данных, в том числе в автоматизированных информационных системах персональных данных, возлагаются на государственных гражданских служащих Комитета в соответствии с Приложением N 3 к настоящему Приказу, служебными контрактами, заключаемыми с ними, и должностными регламентами.

2.3. Обработка персональных данных, порождающая юридические последствия в отношении субъекта персональных данных или иным образом затрагивающая его права и законные интересы, осуществляется без использования средств автоматизации. Обработка персональных данных в отношении каждого из субъектов персональных данных осуществляется при непосредственном участии лица, определенного в соответствии с пунктом 2.2 настоящего Положения.

2.4. В целях обеспечения безопасности персональных данных при их обработке должны быть:

- определены места хранения материальных носителей, содержащих персональные данные, соблюдены условия, обеспечивающие их сохранность и исключающие несанкционированный к ним доступ, в том числе с использованием средств опечатывания помещений, сейфов, шкафов и применения охранной и пожарной сигнализации;

- установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

- реализованы меры по раздельному хранению персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

2.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

2.6. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:

утвержденных организационно-технических документов, установленных нормативно-правовыми актами в области защиты информации;

настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации, установленными уполномоченными федеральными органами исполнительной власти.

3. Порядок обработки персональных данных субъектов персональных данных

3.1. Материальные носители, содержащие сведения, относящиеся к персональным данным, должны храниться в сейфах или шкафах, запирающихся на ключ. Ключи от сейфов и шкафов находятся у ответственных государственных гражданских служащих, осуществляющих обработку персональных данных, и не подлежат передаче неуполномоченным на то лицам.

Сейфы (металлические шкафы) с личными делами, трудовыми книжками и иными документами, содержащими персональные данные, находятся в специально оборудованных кабинетах. Сейфы (металлические шкафы) ежедневно после окончания рабочего дня опечатываются.

3.2. Персональные данные граждан, замещающих должности государственной гражданской службы в Комитете в течение всего периода прохождения государственной гражданской службы хранятся в Комитета государственного заказа области.

После увольнения лица с замещаемой должности его персональные данные, содержащиеся:

на бумажных носителях - хранятся в архиве Комитета;

в автоматизированных системах обработки персональных данных - хранятся в течение пяти лет и в последующем уничтожаются.

Персональные данные лиц, претендующих на замещение должностей государственной гражданской службы, хранятся в архиве Комитета в течение 3 лет с момента их получения, а затем уничтожаются.

3.4. Обработка персональных данных иных физических лиц, представляемых в Комитет, осуществляется в следующем порядке:

3.4.1. Персональные данные обрабатываются в Комитете в целях реализации полномочий Комитета, а также в иных установленных законодательством РФ целях.

3.4.2. Документы, содержащие персональные данные, обрабатываются в соответствии с федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, иными нормативными правовыми актами Российской Федерации и области, устанавливающими цели и порядок обработки персональных данных.

3.4.3. Все персональные данные субъекта необходимо получать у самого субъекта.

Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. В уведомлении указываются цели, предполагаемые источники, способы получения персональных данных, характер подлежащих получению персональных данных и последствия отказа дать письменное согласие на их получение.

3.5. Государственные гражданские служащие Комитета должны быть ознакомлены под роспись с нормативными документами Комитета, устанавливающими порядок обработки персональных данных.

4. Доступ к информационным системам персональных данных

4.1 Обязанности государственного гражданского служащего Комитета, кандидата на замещение должностей государственной гражданской службы Комитета:

4.1.1. передавать представителю нанимателя или уполномоченному им лицу информацию (документы), содержащие персональные данные, перечень которых установлен Федеральным законом от 27.07.2004 г N 79-ФЗ "О государственной гражданской службе Российской Федерации", Трудовым кодексом РФ;

4.1.2. своевременно (в течение 1 месяца) письменно уведомлять представителя нанимателя об изменении своих персональных данных.

4.2. Права государственного гражданского служащего Комитета, кандидата на замещение должностей государственной гражданской службы Комитета:

4.2.1. получать полную информацию о своих персональных данных, в т.ч. право на получение копий любых данных, содержащих персональные данные, за исключением случаев, предусмотренных законодательством РФ;

4.2.2 требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Законодательства РФ и настоящего Положения, а также извещать всех лиц, которым ранее были сообщены неверные или неполные персональные данные государственного гражданского служащего; в случае отказа представителя нанимателя исключить или исправить персональные данные заявлять о своем несогласии с обоснованием такого несогласия.

4.3. Доступ к персональным данным государственных гражданских служащих Комитета, имеют:

- лица, определенные пунктом 2.2 настоящего Положения.

- лица, замещающие должности председателя Комитета, начальника управления размещения государственных заказов, заместителя председателя Комитета, а также лица, исполняющие обязанности председателя Комитета, начальника управления размещения государственных заказов, заместителя председателя Комитета;

- государственные гражданские служащие Департамента государственной службы и кадровой политики области, управления делопроизводства и архива Правительства области;

- лица, входящие в состав соответствующих аттестационных комиссий, комиссий по соблюдению требований к служебному поведению и урегулированию конфликта интересов, иных комиссий, образуемых в соответствии с Федеральным законом "О государственной гражданской службе Российской Федерации" от 27 июля 2004 года N 79-ФЗ, - в отношении рассматриваемых на соответствующих комиссиях персональных данных субъектов персональных данных.

4.4. Доступ к персональным данным кандидатов на замещение должностей государственной гражданской службы Комитета, помимо лиц, указанных в пункте 4.3 настоящего Положения, имеют:

- лица, замещающие должности, а также исполняющие обязанности:

- начальника управления стратегического развития Комитета.

- а также лица, входящие в состав соответствующих конкурсных комиссий, в отношении кандидатов, участвующих в конкурсе.

4.5. Доступ к персональным данным, обрабатываемым в Комитете имеют:

- лица, определенные пунктом 2.2 настоящего Положения.

- лица, замещающие должности председателя Комитета, начальника управления размещения государственных заказов, заместителя председателя Комитета, а также лица, исполняющие обязанности председателя Комитета, начальника управления размещения государственных заказов, заместителя председателя Комитета;

4.6. Доступ к персональным данным иных физических лиц, представляемым в Комитет, помимо лиц, указанных в пункте 4.3 настоящего Положения (обращения граждан), имеют:

- лица, замещающие должности, а также исполняющие обязанности Губернатора области, первых заместителей Губернатора области, заместителей Губернатора области;

- государственные гражданские служащие управления делопроизводства и архива Правительства области, отдела наград Правительства области, отдела писем и приема граждан управления делами Правительства области, Управления по профилактике правонарушений и взаимодействию с правоохранительными органами Правительства области, а также структурных подразделений Правительства области, на которые возложены функции по рассмотрению обращений граждан в соответствии с нормативными правовыми актами Губернатора области и Правительства области, должностными регламентами государственных гражданских служащих области;

- специалист первого разряда Комитета (специалист приемной).

4.7. Доступ к информационным системам персональных данных и электронным носителям, на которых хранятся персональные данные, имеют также специально уполномоченные лица Комитета информационных технологий и телекоммуникаций области, отдела по защите информации Управления специальной документальной связи и защиты государственной тайны Правительства области.

5. Распространение персональных данных субъектов персональных данных

5.1. Персональные данные могут распространяться в соответствии с требованиями, установленными действующим законодательством Российской Федерации и настоящим Положением.

Лица, указанные в пунктах 4.3 - 4.7 настоящего Положения, имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций, поручений, своих должностных обязанностей.

5.2. При распространении персональных данных субъектов персональных данных оператор должен соблюдать следующие требования:

5.2.1. Распространение (в том числе передача) персональных данных субъектов персональных данных осуществляется:

5.2.1.1. Лицами, которые в соответствии с пунктами 4.3 - 4.7 настоящего Положения имеют право доступа к персональным данным, по их запросу либо в случае направления им для рассмотрения соответствующих обращений граждан.

5.3. Предоставление персональных данных третьей стороне осуществляется по письменному запросу и при получении письменного согласия субъекта персональных данных, за исключением случаев, когда представление персональных данных необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в других случаях, предусмотренных законодательством РФ.

Учитывая, что Трудовой кодекс РФ не определяет критерии ситуаций, представляющих угрозу жизни или здоровью субъекта персональных данных, в каждом случае делается оценка серьезности, неминуемости, степени такой угрозы.

5.4. К числу внешних потребителей персональных данных можно отнести:

5.4.1. налоговые инспекции;

5.4.2. правоохранительные органы;

5.4.3. органы статистики;

5.4.4. организации медицинского страхования и социального страхования;

5.4.5. военкоматы;

5.4.6. пенсионные фонды;

5.4.7. подразделения государственных органов управления;

5.4.8. надзорно-контрольные органы, в сфере своей компетенции;

5.4.9. организации, в которых государственный гражданский служащий Комитета может осуществлять перечисление денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения);

5.4.10. судебные органы.

5.5. Сведения о государственном гражданском служащем Комитета, лице, уволенном с замещаемой должности, содержащие персональные данные могут быть переданы третьей стороне только по письменному запросу, за исключением случаев, предусмотренных законодательством РФ.

5.6. Персональные данные государственных гражданских служащих Комитета могут быть предоставлены родственникам или членам его семьи только с письменного согласия самого субъекта персональных данных.

5.7. В случае обращения с запросом лица, не уполномоченного в соответствии с нормативными правовыми актами на получение персональных данных, либо отсутствия письменного согласия субъекта персональных данных на предоставление его персональных данных третьей стороне, либо отсутствия угрозы жизни и здоровью субъекта персональных данных оператор обязан отказать в предоставлении персональных данных.

5.8. Запрещается сообщать персональные данные субъектов персональных данных в коммерческих целях, в том числе в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации без письменного согласия субъекта персональных данных.

5.9. При передаче персональных данных оператор обязан предупредить в установленном порядке лиц, получающих персональные данные субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

5.10. В случае если оператор на основании договора поручает обработку или осуществляет передачу персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

5.11. При привлечении по договору к работам по обработке и (или) защите персональных данных сторонних юридических и (или) физических лиц обязательным условием допуска к проведению таких работ является подписание обязательства о неразглашении информации с лицами, проводящими работы.

5.12. Трансграничная передача персональных данных на территорию иностранных государств может осуществляться оператором в соответствии со статьей 12 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".

6. Защита персональных данных

6.1. Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, обеспечивающий достаточно надежную безопасность информации.

6.2. регламентация доступа к персональным данным входит в число основных направлений организационной защиты информации.

6.3. для защиты персональных данных необходимо соблюдать меры:

- воспитательная и разъяснительная работа с государственными гражданскими служащими Комитета;

- организация порядка уничтожения информации;

- ограничение и регламентация доступа к персональным данным;

- рациональное размещение рабочих мест государственных гражданских служащих, при котором исключается бесконтрольное использование персональных данных;

- наличие необходимых условий в помещениях для работы с персональными данными;

- знание государственными гражданскими служащими Комитета законодательства РФ по защите информации;

- порядок охраны территории, здания, помещений;

- технические средства охраны, сигнализации;

- порядок приема, учета и контроля деятельности посетителей.

6.4. все электронные файлы (папки), содержащие персональные данные должны быть защищены паролем.

7. Ответственность за нарушение норм, регулирующих порядок хранения и распространения персональных данных

7.1. Лица, виновные в нарушении норм, регулирующих порядок хранения и распространения персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном законодательством о государственной гражданской службе и трудовым законодательством, а также привлекаются к административной и уголовной ответственности в порядке, установленном законодательством РФ.

7.2. Государственный гражданский служащий Комитета несет ответственность за предоставление недостоверных сведений или предоставление сведений с нарушением сроков, содержащих персональные данные, работодателю.