Положение о защите персональных данных в Избирательной комиссии Республики Калмыкия (утв. распоряжением Председателя Избирательной комиссии Республики Калмыкия от 01.10.2012 N 70-р)

1. Общие положения

1.1. Настоящее положение принято в целях сохранения личной тайны и защиты персональных данных членов Избирательной комиссии Республики Калмыкия с правом решающего голоса, государственных гражданских служащих Республики Калмыкия, замещающих должности государственной гражданской службы в Аппарате Избирательной комиссии Республики Калмыкия, а также работников Аппарата Избирательной комиссии Республики Калмыкия (далее - члены ИК РК, гражданские служащие и работники соответственно).

1.2. Положение разработано на основе и во исполнение ч. 1 ст. 23, ст. 24 Конституции Российской Федерации, федеральных законов "О государственной гражданской службе Российской Федерации", "О персональных данных", положений гл. 14 Трудового кодекса Российской Федерации, законов Республики Калмыкия "О лицах, замещающих государственные должности Республики Калмыкия", "О государственной гражданской службе Республики Калмыкия" и других нормативных правовых актов Российской Федерации и Республики Калмыкия.

1.3. В положении используются следующие понятия и термины:

Представитель нанимателя - Председатель ИК РК, осуществляющий полномочия нанимателя от имени Республики Калмыкия;

персональные данные - информация, необходимая Представителю нанимателя в связи со служебными (трудовыми) отношениями и касающаяся конкретного члена ИК РК, гражданского служащего, работника;

обработка персональных данных - получение, хранение, комбинирование, передача или любое другое использование персональных данных членов ИК РК, гражданских служащих и работников.

1.4. Положение определяет права и обязанности Представителя нанимателя, членов ИК РК, гражданских служащих и работников, порядок и условия взаимодействия по поводу сбора, документирования, хранения и передачи персональных данных членов ИК РК, гражданских служащих и работников.

1.5. Ответственный за организацию обработки персональных данных в ИК РК осуществляет внутренний контроль соответствия обработки персональных данных требованиям о защите персональных данных, установленным законом и подзаконными нормативными правовыми актами.

Периодические проверки условий обработки персональных данных осуществляются не реже двух раз в год ответственным за организацию обработки персональных данных в ИК РК либо комиссией, образуемой Представителем нанимателя по представлению ответственного за организацию обработки персональных данных. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, Представителю нанимателя докладывает ответственный за организацию обработки персональных данных либо председатель образованной в соответствии с настоящим пунктом комиссии.

Пересмотр и актуализация настоящего положения проводится:

а) по результатам мероприятий и проверок уполномоченных контролирующих органов, выявивших несоответствие требованиям по обеспечению безопасности персональных данных;

б) при изменении законодательства в области персональных данных;

в) при изменении состава персональных данных и их целей их обработки.

ГАРАНТ:

Нумерация пунктов раздела 1 настоящего Положения приводится в соответствии с источником

1.6. Обработка персональных данных осуществляется в целях:

- обеспечения соблюдения законов и иных нормативно-правовых актов;

- исполнения государственных функций по организации подготовки и проведения выборов и референдумов;

- ведения кадровой работы (ведение и хранение личных дел, учетных карточек и трудовых книжек);

- содействия в трудоустройстве;

- содействия гражданским служащим и работникам в прохождении государственной службы, работе, в обучении и должностном росте;

- обеспечения личной безопасности членов ИК РК, гражданских служащих, работников и членов их семей;

- учета результатов исполнения ими должностных обязанностей;

- обеспечения сохранности имущества Представителя нанимателя.

1.6. Представитель нанимателя, Заместитель Председателя ИК РК - руководитель Аппарата ИК РК, иные лица, указанные в п. 6.1 настоящего положения, обеспечивают защиту персональных данных от неправомерного их использования или утраты.

2. Состав персональных данных

2.1. Персональные данные членов ИК РК, гражданских служащих и работников составляют:

а) сведения о фактах, событиях и обстоятельствах их частной жизни, позволяющие их идентифицировать, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными и республиканскими законами, подзаконными нормативно-правовыми актами случаях;

б) служебные сведения, а также иные сведения, связанные с их профессиональной деятельностью, в том числе сведения о поощрениях и о дисциплинарных взысканиях.

2.2. Документами, содержащими персональные данные, являются:

а) паспорт или иной документ, удостоверяющий личность;

б) трудовая книжка;

в) страховое свидетельство государственного пенсионного страхования;

г) свидетельство о постановке на учет в налоговый орган;

д) документы воинского учета;

е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;

ж) карточка Т-2, Т-2ГС (МС);

з) автобиографические данные;

и) документы, содержащие сведения о заработной плате, доплатах и надбавках;

к) распоряжения (приказы) о приеме лица на работу, об увольнении, а также о переводе лица на другую должность;

л) иные документы (справка о доходах с предыдущего места работы, справка из органов государственной налоговой службы о предоставлении сведений об имущественном положении, медицинское заключение о состоянии здоровья и др.);

м) сведения о фактах, событиях и обстоятельствах жизни, позволяющих идентифицировать их личность.

3. Обработка персональных данных

3.1. Обработка персональных данных членов ИК РК, гражданских служащих и работников осуществляется с их письменного согласия как с использованием средств автоматизации, так и без использования таких средств.

3.2. Все персональные данные следует получать непосредственно у члена ИК РК, гражданского служащего и работника, за исключением случаев, если их получение возможно только от третьих лиц.

3.3. Получение персональных данных от третьих лиц возможно только при предварительном уведомлении об этом членов ИК РК, гражданских служащих и работников и с их письменного согласия. В уведомлении о получении персональных данных от третьих лиц должна содержаться информация о целях получения, о предполагаемых источниках и способах получения, о характере подлежащих получению персональных данных, о последствиях отказа членов ИК РК, гражданских служащих и работников дать письменное согласие на их получение.

3.4. Обработка биометрических и специальных категорий персональных данных, данных о частной жизни членов ИК РК, гражданских служащих и работников осуществляется с их письменного согласия либо в случаях, предусмотренных законом.

3.5. Запрещается запрашивать информацию о состоянии здоровья членов ИК РК, гражданских служащих и работников, за исключением сведений, которые относятся к вопросу о возможности выполнения ими служебной (трудовой) функции.

3.6. При принятии решений, затрагивающих интересы членов ИК РК, гражданских служащих и работников, Представитель нанимателя не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.7. Сведения, содержащие персональные данные, включаются в личные дела, карточки формы Т-2, Т-2ГС (МС), а также содержатся на электронных носителях информации, доступ к которым разрешен лицам, непосредственно использующих персональные данные членов ИК РК, гражданских служащих и работников в служебных целях. Перечень лиц (далее - уполномоченные лица) определен в п. 6.1 настоящего положения.

3.8. При обработке персональных данных уполномоченные лица обязаны соблюдать следующие требования:

а) соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки;

б) обеспечение конфиденциальности персональных данных, за исключением случаев их обезличивания и в отношении общедоступных персональных данных;

в) осуществление хранения персональных данных в форме, позволяющей определить членов ИК РК, гражданских служащих и работников, являющихся субъектами персональных данных, не дольше, чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено федеральным и республиканским законодательством. Факт уничтожения оформляется соответствующим актом;

г) допустимость опубликования и распространения персональных данных в случаях, установленных федеральным и республиканским законодательством.

3.9. В целях обеспечения защиты персональных данных, хранящихся в личных делах, члены ИК РК, гражданские служащие и работники имеют право:

а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

б) определить представителей для защиты своих персональных данных;

в) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законом;

г) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением закона;

д) требовать уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;

е) обжаловать в установленном законом порядке действия или бездействие Представителя нанимателя при обработке персональных данных;

ж) осуществлять доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

з) иные права, предусмотренные законодательством о персональных данных.

3.10. При передаче персональных данных представителям членов ИК РК, гражданских служащих и работников Представитель нанимателя ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

3.11. Рассмотрение запросов членов ИК РК, гражданских служащих и работников, а также их представителей осуществляется Представителем нанимателя с привлечением гражданских служащих Аппарата ИК РК, осуществляющих работу с персональными данными, относительно которых поступил запрос, в соответствии с Порядком организации работы по рассмотрению обращений и личному приему граждан в Избирательной комиссии Республики Калмыкия.

3.12. Защита персональных данных от неправомерного использования или утраты обеспечивается за счет средств Представителя нанимателя в порядке, установленном законом.

4. Порядок обработки персональных данных, осуществляемой без использования средств автоматизации

4.1. При обработке персональных данных без использования средств автоматизации уполномоченными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.

4.2. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на ИК РК полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки, адрес ИК РК, фамилию, имя, отчество и адрес члена ИК РК, гражданского служащего и работника, чьи персональные данные вносятся в указанную типовую форму, сроки обработки, перечень действий, которые будут совершаться в процессе обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из членов ИК РК, гражданских служащих и работников, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными не имел возможности доступа к персональным данным иных лиц;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

4.3. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

4.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

5. Порядок обработки персональных данных, осуществляемой с использованием средств автоматизации

5.1. Обработка персональных данных в ИК РК осуществляется:

а) в задаче "Учет кадров избирательных комиссий" Государственной автоматизированной системы Российской Федерации "Выборы" (далее - ГАС "Выборы"), включающей следующие данные о членах ИК РК, гражданских служащих и работниках:

- фамилия, имя, отчество (в том числе прежние);

- дата и место рождения;

- сведения о гендерной принадлежности;

- семейное положение;

- гражданство;

- сведения о документе, удостоверяющем личность;

- сведения о заграничных паспортах;

- почтовый адрес, адрес регистрации по месту пребывания и фактического места жительства;

- ИНН;

- сведения об образовании, в том числе дополнительном;

- сведения о присвоенных ученых степенях и званиях;

- сведения о знании иностранных языков, языков РФ;

- контакты (телефоны, адреса электронной почты);

- сведения о замещаемой должности, о порядке выдвижения и назначения на должность, о приеме, переводе, увольнении;

- сведения о присвоенных классных чинах, аттестации;

- сведения о поощрениях, награждениях;

- сведения о трудовой деятельности;

- сведения по воинскому учету.

б) в информационной системе "ПАРУС", включающей следующие данные о членах ИК РК, гражданских служащих и работниках:

- фамилия, имя, отчество;

- дата рождения;

- сведения о документе, удостоверяющем личность;

- почтовый адрес, адрес регистрации по месту пребывания и фактического места жительства;

- ИНН;

- сведения о замещаемой должности, о порядке выдвижения и назначения на должность, о приеме, переводе, увольнении;

- номер страхового свидетельства государственного пенсионного страхования.

Классификация указанных информационных систем персональных данных осуществляется в порядке, установленном законодательством Российской Федерации.

5.2. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

5.3. Уполномоченными лицами при обработке персональных данных в информационных системах должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации.

5.4. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных технических средств.

5.5. Доступ уполномоченных лиц (операторов информационной системы) к персональным данным в информационных системах персональных данных ИК РК должен требовать обязательного прохождения процедуры идентификации и аутентификации.

5.6. Самостоятельное (без санкции информационного центра Аппарата ИК РК) подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных, к информационно-телекоммуникационным сетям (в том числе к сети "Интернет"), не допускается.

5.7. Информационным центром Аппарата ИК РК должно быть обеспечено:

а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства ИК РК;

б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных в результате несанкционированного доступа к ним;

г) постоянный контроль за обеспечением уровня защищенности персональных данных;

д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

6. Доступ к персональным данным

6.1. Доступ к персональным данным членов ИК РК, гражданских служащих и работников имеют следующие лица, использующие их в служебных целях:

а) Председатель, заместители Председателя, Секретарь ИК РК;

б) начальник отдела - руководитель информационного центра Аппарата ИК РК, консультант, специалист информационного центра Аппарата ИК РК;

в) гражданские служащие финансового отдела Аппарата ИК РК;

г) начальник юридического отдела, ведущий специалист юридического отдела Аппарата ИК РК;

д) начальник организационно-методического отдела Аппарата ИК РК (доступ к персональным данным гражданских служащих своего отдела);

е) начальник организационно-методического отдела, специалисты 1, 2 разрядов организационно-методического отдела Аппарата ИК РК (доступ к информации о фактическом месте проживания, контактным телефонам);

ж) гражданские служащие и работники Аппарата ИК РК (доступ к контактным телефонам).

6.2. Уполномоченные лица имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных функций в соответствии с Регламентом ИК РК, должностными регламентами и инструкциями.

6.3. Передача третьей стороне персональных данных членов ИК РК, гражданских служащих и работников разрешается только при наличии заявления третьей стороны с указанием конкретных персональных данных и целей, для которых они будут использованы, а также письменного согласия членов ИК РК, гражданских служащих и работников, персональные данные которых затребованы, за исключением случаев, установленных законом (в том числе в случаях, когда это необходимо в целях предупреждения угрозы их жизни и здоровью, а также при поступлении официальных запросов из ЦИК РФ, налоговых органов, органов Пенсионного Фонда России, органов социального страхования, судебных и правоохранительных органов, от субъектов официального статистического учета).

При передаче персональных данных Представитель нанимателя предупреждает третью сторону о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от третьей стороны подтверждение того, что это правильно соблюдено. Третья сторона обязана соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами.

6.4. Хранение персональных данных:

а) персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу. Трудовая книжка, документы воинского учета, карточка формы Т-2, Т-2ГС (МС) хранятся в запертом металлическом сейфе;

б) персональные данные, содержащиеся на электронных носителях информации, хранятся с использованием средств вычислительной техники. Доступ к таким средствам строго ограничен кругом уполномоченных лиц.

6.5. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив после истечения установленного срока хранения.

7. Обезличивание персональных данных

7.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных.

7.2. Способы обезличивания персональных данных:

а) уменьшение перечня обрабатываемых сведений;

б) замена части сведений идентификатором/ами;

в) замена численных значений минимальным, средним, или максимальным значением;

г) понижение точности некоторых сведений;

д) деление сведений на части и обработка в разных информационных системах;

е) другие способы.

7.3. Обезличивание персональных данных при обработке персональных данных без использования средств автоматизации производится с учетом п. 4.3 настоящего положения.

7.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение правил хранения бумажных носителей, правил доступа к ним и в помещения, где они хранятся.

7.5. Обезличивание персональных данных при обработке персональных данных с использованием средств автоматизации осуществляется согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных.

7.6. Уполномоченные лица, указанные в п. 6.1. настоящего положения, ответственны также за проведение мероприятий по обезличиванию обрабатываемых персональных данных.

8. Ответственность за разглашение информации, связанной с персональными данными

8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной, административной, гражданско-правовой или уголовной ответственности в соответствии с действующим законодательством.