Приложение 1. Положение об обработке и защите персональных данных в Департаменте по охране, контролю и регулированию использования объектов животного мира Вологодской области. Приказ Департамента по охране, контролю и регулированию использования объектов животного мира Вологодской области от 26.11.2014 N 122 "Об утверждении Положения о порядке обработки и защите персональных данных" (утратил силу)

Приложение 1

Положение
об обработке и защите персональных данных в Департаменте по охране, контролю и регулированию использования объектов животного мира Вологодской области
(далее - Положение)

I. Общие положения

1.1. Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2006 года N 152-ФЗ "О персональных данных", от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", от 6 декабря 2011 года N 402-ФЗ "О бухгалтерском учете", Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Губернатора области от 22 мая 2007 года N 164 "Об утверждении положения о представлении лицом, замещающим государственную должность области (гражданином при решении вопроса о назначении на государственную должность области), должность государственной гражданской службы области (кандидатом на замещение должности государственной гражданской службы области), сведений о доходах, об имуществе и обязательствах имущественного характера, а также сведений о доходах, об имуществе и обязательствах имущественного характера своих супруга (супруги) и несовершеннолетних детей".

1.2. Положение определяет порядок обработки персональных данных в департаменте и меры по обеспечению безопасности персональных данных.

1.3. В настоящем Положении используются понятия, применяемые в значениях, определенных в Федеральном законе от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

1.4. В департаменте обрабатываются персональные данные лиц, претендующих на замещение государственных должностей области в департаменте, а также иных физических лиц, персональные данные которых представлены в департамент.

Перечень персональных данных, обрабатываемых в департаменте в связи с реализацией служебных (трудовых) отношений, а также в связи с осуществлением государственных функций и оказанием государственных услуг, изложен в приложении 1 к настоящему Положению.

1.5. Обработка персональных данных в департаменте осуществляется в целях реализации возложенных на департамент полномочий, определяемых федеральными законами, положением о департаменте, иными нормативными правовыми актами.

1.6. Персональные данные субъектов персональных данных являются сведениями конфиденциального характера (за исключением случаев, установленных федеральными законами), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениями, составляющими государственную тайну.

1.7. Департамент является оператором, организующим и осуществляющим обработку персональных данных. Функции оператора возлагаются на структурные подразделения департамента.

1.8. Обязанности по обработке персональных данных возлагаются на лиц, замещающих должности в структурных подразделениях департамента, в соответствии с утвержденным перечнем должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, служебными контрактами, заключаемыми с ними, и должностными регламентами.

Перечень должностей в департаменте, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, изложен в приложении 2 к настоящему Положению.

1.9. Оператор (должностные лица, осуществляющие обработку персональных данных) при обработке персональных данных обладает полномочиями и исполняет обязанности, установленные Федеральным законом "О персональных данных", Трудовым кодексом Российской Федерации, настоящим Положением и иными нормативными правовыми актами.

1.10. Лица, непосредственно осуществляющие обработку персональных данных, в обязательном порядке под роспись знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Положением, локальными актами оператора по вопросам обработки персональных данных и документами, устанавливающими обязанности данных лиц по соблюдению требования конфиденциальности и безопасности персональных данных.

1.11. В случае попытки кого-либо получить от лиц, осуществляющих обработку персональных данных, сведения, являющиеся персональными данными, а также о причинах и условиях возможной утечки этих данных указанные лица обязаны сообщать непосредственному руководителю, как только им стало известно.

1.12. При предоставлении персональных данных лицом, замещающим должность в департаменте, либо иным субъектом персональных данных подписывается согласие на обработку персональных данных по форме приложения 3, за исключением случаев предоставления персональных данных лицом при получении им государственных услуг.

1.13. В случае отказа субъекта персональных данных представлять свои персональные данные в департамент субъекту персональных данных под роспись разъясняются последствия отказа представления персональных данных (приложение 3.1).

II. Порядок обработки персональных данных субъектов персональных данных

2.1. Определение объема, содержания и способа обработки персональных данных осуществляется в соответствии с заявленными целями и правовым основанием, определяющим их получение.

2.2. Обеспечение безопасности при обработке персональных данных в информационных системах персональных данных (далее - ИСПДн) осуществляется в соответствии с Инструкцией пользователя по обеспечению безопасности ИСПДн (приложение 4).

2.3. В департаменте функционируют информационные системы персональных данных с целью автоматизации бухгалтерского учета, документооборота, систематизации информации об охотничьих ресурсах, гражданах, имеющих охотничий билет. Перечень информационных систем персональных данных департамента содержится в приложении 5.

2.4. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иное не предусмотрено сроком действия договора с субъектом персональных данных, сроком исковой давности, Приказом Минкультуры Российской Федерации от 25 августа 2010 года N 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", иными нормативными правовыми актами. По достижении целей обработки персональных данных или в случае утраты необходимости в их достижении, а также по истечении срока хранения персональные данные подлежат уничтожению.

2.5. При обработке персональных данных лиц, претендующих на замещение государственных должностей области в департаменте, соблюдаются требования, установленные статьей 86 Трудового кодекса Российской Федерации, пунктом 5 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 года N 609, и иными нормативными правовыми актами.

2.5.1. После прекращения служебного контракта (трудового договора) и освобождения лица от замещаемой должности его персональные данные, содержащиеся:

на бумажных носителях, - хранятся в департаменте в управлении правовой, кадровой работы и делопроизводства до конца календарного года, в отделе анализа, бухгалтерского учета и материально-технического обеспечения пять лет, после чего передаются в архив департамента;

в информационных системах персональных данных, - хранятся в управлении правовой, кадровой работы и делопроизводства и отделе анализа, бухгалтерского учета и материально-технического обеспечения департамента в течение пяти лет, после чего подлежат уничтожению.

2.6. Обработка персональных данных иных физических лиц, представляемых в департамент, осуществляется в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.

2.6.1. Персональные данные обрабатываются в целях реализации полномочий департамента, в том числе по рассмотрению обращений физических лиц.

2.6.2. Обращения, содержащие персональные данные физических лиц, обрабатываемые в управлении правовой, кадровой работы и делопроизводства в течение срока рассмотрения обращений. В последующем указанные персональные данные:

на бумажных носителях хранятся в течение пяти лет со дня рассмотрения обращения, после чего проводится экспертиза ценности документов должностными лицами, ответственными за ведение делопроизводства, по результатам которой составляются описи дел постоянного срока хранения и акты о выделении дел к уничтожению. Дела постоянного хранения передаются в архив департамента;

в электронном виде хранятся в течение пяти лет со дня поступления обращения в базе данных на машинных носителях информации в управлении правовой, кадровой работы и делопроизводства, после чего подлежат уничтожению.

2.6.3. Персональные данные, обрабатываемые в целях исполнения договоров и ведения расчетов с физическими лицами, обрабатываются в отделе анализа, бухгалтерского учета и материально-технического обеспечения в течение срока действия договора или ведения расчетов с физическими лицами, в последующем хранятся на бумажных носителях и в информационной системе в течение пяти лет, после чего подлежат уничтожению.

2.7. В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты персональных данных имеют право на доступ к своим персональным данным, получение информации, касающейся обработки своих персональных данных, и обжалование действий (бездействия) оператора в соответствии с Федеральным законом "О персональных данных", Трудовым кодексом Российской Федерации и иными нормативными правовыми актами.

2.8. При обработке персональных данных, осуществляемой без использования средств автоматизации, оператором выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

2.9. Правила работы с обезличенными данными в департаменте и перечень должностей в департаменте, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, изложены соответственно в приложениях 6 и 7 к настоящему Положению.

2.10. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание), или путем уничтожения материального носителя. Бумажные носители персональных данных уничтожаются путем сжигания или измельчения до степени, исключающей возможность прочтения текста.

2.11. Уничтожение персональных данных осуществляется комиссией на основании акта об уничтожении.

2.12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

2.13. В случае расторжения служебного контракта либо перевода на иную должность лицо, замещающее должность в департаменте, непосредственно осуществляющее обработку персональных данных, обязано прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, и подписать обязательство по форме приложения 8.

III. Меры по обеспечению безопасности персональных данных при их обработке в Департаменте

3.1. Безопасность персональных данных достигается путем исключения неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, распространения, предоставления, а также от иных неправомерных действий в отношении их.

3.2. Персональные данные субъектов персональных данных в департаменте обрабатываются на бумажных и электронных носителях.

3.3. Обеспечение безопасности персональных данных при их обработке достигается путем принятия необходимых организационных и технических мер для их защиты, установленных статьей 19 Федерального закона "О персональных данных", разделом III Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687, а также иными нормативными правовыми актами. К организационным и техническим мерам защиты персональных данных относятся в том числе:

определение мест хранения материальных носителей, содержащих персональные данные, соблюдение условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ;

организация порядка уничтожения информации, содержащей персональные данные;

обеспечение целостности программных средств информационной системы персональных данных, обрабатываемой информации, а также неизменности программной среды;

соблюдение пользователями условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

соблюдение пользователями порядка реагирования на инциденты и восстановления работоспособности информационных систем.

3.4. Не допускается обработка персональных данных в информационных системах персональных данных при отсутствии:

утвержденных организационно-технических документов, установленных нормативными правовыми актами в области защиты информации;

настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации, установленными Правительством Российской Федерации, ФСТЭК России, ФСБ России.

3.5. Запись информации, содержащей персональные данные, должна осуществляться только на машинные носители информации, соответствующим образом учтенные в Журнале учета электронных носителей информации (приложение 9).

3.6. Обращения субъектов персональных данных о выполнении их законных прав при обработке персональных данных регистрируются в Журнале учета обращений субъектов персональных данных о выполнении их законных прав при обработке персональных данных (приложение 10).

3.7. Учет применяемых средств защиты информации ведется в Журнале учета средств защиты информации (приложение 11).

3.8. Выполнение работ по обеспечению безопасности и администрированию ИСПДн подлежит регистрации в Журнале регистрации работ в ИСПДн (приложение 12).

IV. Доступ к персональным данным и информационным системам персональных данных

4.1. Доступ к персональным данным, обрабатываемым в департаменте, имеют лица, замещающие должности в соответствии с приложением 2.

4.2. Доступ к информационным системам персональных данных и электронным носителям, на которых хранятся персональные данные, имеют также уполномоченные лица:

отдела по защите информации Правительства области - в целях проверки организации обеспечения защиты электронных носителей, технических средств, позволяющих осуществлять обработку персональных данных;

бюджетного учреждения в сфере информационных технологий Вологодской области "Центр информационных технологий" - с целью сопровождения, администрирования и технической поддержки инфраструктуры информационных систем персональных данных.

Обязательным условием допуска к проведению данных работ является возложение на уполномоченных лиц обязанности обеспечения конфиденциальности персональных данных и безопасности персональных данных при работе с информационными системами персональных данных.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

4.2. Персональные данные могут предоставляться в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.

4.3. Предоставление персональных данных субъектов персональных данных осуществляется:

4.3.1. Лицам, которые в соответствии с пунктом 4.1 настоящего Положения имеют право доступа к персональным данным, по их запросу, либо в случае направления им для рассмотрения соответствующих обращений физических лиц, либо для выполнения своих должностных обязанностей по обработке персональных данных.

4.4. Лица, указанные в пункте 4.2 настоящего Положения, имеют право получать на ознакомление только те персональные данные, которые необходимы для выполнения конкретных функций, поручений, своих должностных обязанностей.

4.5. В случае обращения с запросом лица, не уполномоченного в соответствии с нормативными правовыми актами на получение персональных данных, либо отсутствия письменного согласия субъекта персональных данных на предоставление его персональных данных третьей стороне, либо отсутствия угрозы жизни и здоровью субъекта персональных данных оператор обязан отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации.

4.6. При передаче персональных данных оператор обязан предупредить в установленном порядке лиц, получающих персональные данные субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

4.7. При привлечении по договору к работам по обработке и (или) защите персональных данных сторонних юридических и (или) физических лиц обязательным условием допуска к проведению таких работ является подписание обязательства о неразглашении информации лицами, проводящими работы.

4.8. При направлении третьей стороне документов, содержащих персональные данные, или выписок из них необходимо руководствоваться общим порядком обращения с документированной информацией, содержащей служебную информацию ограниченного распространения, определенным Инструкцией о порядке обращения со служебной информацией ограниченного распространения в департаменте.

4.9. Правила рассмотрения запросов субъектов персональных данных или их представителей изложены в приложении 13.

4.10. Порядок доступа лиц, замещающих должности в департаменте, в помещения, в которых ведется обработка персональных данных, изложен в приложении 14.

V. Контроль соответствия обработки персональных данных

5.1. Внутренний контроль за соблюдением должностными лицами законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных осуществляет ответственный за организацию обработки персональных данных в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных в департаменте (приложение 15).