Приложение N 1. Правила обработки персональных данных в Агентстве по информатизации и связи Камчатского края. Приказ Агентства по информатизации и связи Камчатского края от 15.12.2014 N 126-п "Об определении ответственного за организацию обработки персональных данных"

Приложение N 1
к приказу Агентства по информатизации
и связи Камчатского края
от 15 декабря 2014 г. N 126-п

Правила
обработки персональных данных в Агентстве по информатизации и связи Камчатского края

1. Общие положения

1.1. Настоящие Правила обработки персональных данных в Агентстве по информатизации и связи Камчатского края (далее - Правила) определяют категории субъектов, персональные данные которых обрабатываются, цели обработки персональных данных, содержание обрабатываемых персональных данных для каждой цели обработки персональных данных, порядок обработки персональных данных, меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных и на обеспечение защиты персональных данных, обязанности по защите персональных данных и порядок доступа к персональным данным, сроки обработки и хранения персональных данных, порядок уничтожения персональных данных.

1.2. Агентство по информатизации и связи Камчатского края (далее - Агентство) является оператором, организующим и осуществляющим обработку персональных данных следующих категорий субъектов персональных данных (далее - субъекты):

1) государственные гражданские служащие и члены их семей;

2) лица, претендующие на замещение вакантных должностей государственной гражданской службы в Агентстве и члены их семей;

3) лица, замещающие государственные должности Камчатского края в Агентстве и члены их семей;

4) лица, обратившиеся в Агентство с обращениями;

5) лица, кандидатуры которых представляются в Агентстве в связи с награждениями;

6) иные лица, персональные данные которых должны обрабатываться в соответствии с федеральным законодательством или законодательством Камчатского края;

1.3. Лицо, ответственное за организацию обработки персональных данных в Агентстве, назначается приказом Руководителя Агентства.

1.4. Понятия, используемые в Правилах, применяются в тех же значениях, что и в Федеральных законах от 27.07.2006 N 152-ФЗ "О персональных данных", от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

2. Цели обработки персональных данных и содержание обрабатываемых персональных данных в Агентстве

2.1. Персональные данные государственных гражданских служащих Агентства (далее - гражданские служащие) и членов их семей, обрабатываются в целях:

1) обеспечения соблюдения Конституции Российской Федерации, трудового законодательства, законодательства о государственной гражданской службе Российской Федерации, законодательства Российской Федерации в области персональных данных, других федеральных законов и иных нормативных правовых актов Российской Федерации;

2) содействия гражданскому служащему в прохождении государственной гражданской службы, обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества, учета результатов исполнения им должностных обязанностей и обеспечения сохранности имущества Агентства;

3) реализации иных прав и обязанностей, установленных федеральным законодательством.

2.2. Персональные данные лиц, претендующих на замещение вакантных должностей государственной гражданской службы и членов их семьей, обрабатываются в целях:

1) обеспечения соблюдения Конституции Российской Федерации, трудового законодательства, законодательства о государственной гражданской службе Российской Федерации, законодательства Российской Федерации в области персональных данных, других федеральных законов и иных нормативных правовых актов Российской Федерации;

2) содействия указанным лицам в поступлении на государственную гражданскую службу, в том числе в прохождении конкурсных процедур, связанных с замещением вакантной должности государственной гражданской службы в Агентстве.

2.3. Персональные данные лиц, замещающих государственные должности Камчатского края в Агентстве и членов их семей, обрабатываются в целях:

1) обеспечения соблюдения Конституции Российской Федерации, Федерального закона от 06.10.1999 N 184-ФЗ "Об общих принципах организации законодательных (представительных) и исполнительных органов государственной власти субъектов Российской Федерации", законодательства Российской Федерации в области персональных данных, других федеральных законов и иных нормативных правовых актов Российской Федерации, Устава Камчатского края, Закона Камчатского края от 27.02.2013 N 203 "О государственных должностях Камчатского края", других законов Камчатского края и иных нормативных правовых актов Камчатского края;

2) обеспечения осуществления полномочий, предоставления прав, гарантий и компенсаций, установленных федеральным законодательством, предоставления сведений о доходах, расходах, об имуществе и обязательствах имущественного характера и реализации иных вопросов, установленных законодательством Российской Федерации и Камчатского края.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

2.5. Персональные данные лиц, обратившихся в Агентство с обращениями, обрабатываются в целях:

1) обеспечения соблюдения Конституции Российской Федерации, Федерального закона от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", законодательства Российской Федерации в области персональных данных, других федеральных законов и иных нормативных правовых актов Российской Федерации, Устава Камчатского края, законов и иных нормативных правовых актов Камчатского края;

2) рассмотрения обращения, получения по запросам необходимых для рассмотрения обращения документов и материалов, касающихся заявителя, в других государственных органах, органах местного самоуправления и у иных должностных лиц, принятия мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов гражданина, письменного ответа по существу поставленных в обращении вопросов, за исключением случаев, указанных в статье 11 Федерального закона от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", уведомления гражданина о направлении его обращения на рассмотрение в другой государственный орган, орган местного самоуправления или иному должностному лицу в соответствии с их компетенцией.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

2.7. Персональные данные лиц, кандидатуры которых представляются в Агентство в связи с награждениями, обрабатываются в целях:

1) обеспечения соблюдения Конституции Российской Федерации, Федерального закона от 06.10.1999 N 184-ФЗ "Об общих принципах организации законодательных (представительных) и исполнительных органов государственной власти субъектов Российской Федерации", законодательства Российской Федерации в области персональных данных, других федеральных законов и иных нормативных правовых актов Российской Федерации, Устава Камчатского края, Закона Камчатского края от 11.03.2008 N 18 "О наградах, премиях и стипендиях Камчатского края";

2) обеспечения осуществления награждений Почетными грамотами и Благодарственными письмами Агентства, Благодарностью руководителя Агентства, в том числе рассмотрение материалов по награждению, оформлению документов о награждении, учет и регистрация награжденных.

2.8. Содержание обрабатываемых персональных данных для каждой цели обработки персональных данных определено перечнем персональных данных, обрабатываемых в Агентстве. Данный перечень утверждается приказом руководителя Агентства.

3. Порядок обработки персональных данных в Агентстве

3.1. Обработку персональных данных в Агентстве осуществляют гражданские служащие, замещение должностей которых предусматривает осуществление обработки персональных данных. Перечень лиц, допущенных к обработке персональных данных в Агентстве (далее - уполномоченные работники), определяется приказом руководителя Агентства.

Обработка персональных данных в Агентстве осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации.

3.2. Обработка персональных данных в Агентстве основывается на принципах обработки персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

3.3. Обработка персональных данных в Агентстве осуществляется в случаях:

1) наличия согласия субъекта персональных данных на обработку его персональных данных;

2) необходимости исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

3) обеспечения прав и законных интересов оператора или третьих лиц либо достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

4) в иных случаях, предусмотренных федеральным законодательством.

3.4. В случае возникновения необходимости получения персональных данных субъекта персональных данных у третьей стороны Оператор обязан известить об этом субъекта персональных данных заранее, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных.

3.5. Субъект персональных данных предоставляет свои персональные данные Агентству (далее также - Оператор) и дает согласие на их обработку самостоятельно либо через своего представителя. Согласие на обработку персональных данных может быть дано в любой форме, позволяющей подтвердить указанный факт, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.

3.6. В Агентстве не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных". Если обработка специальных категорий персональных данных осуществлялась, то она должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась указанная обработка, если иное не установлено федеральным законом.

3.7. В Агентстве могут быть использованы информационные системы для учета и обработки персональных данных с учетом особенностей, установленных статьей 13 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

3.8. До начала обработки персональных данных лицо, ответственное за организацию обработки персональных данных в Агентстве, обязано подать уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев обработки персональных данных:

- в соответствии с трудовым законодательством;

- в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

- в иных случаях, установленных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

3.9. Уведомление, предусмотренное в пункте 3.8 настоящих Правил направляется в виде документа на бумажном носителе или в форме электронного документа и должно содержать следующие сведения:

1) наименование, адрес Оператора;

2) цель обработки персональных данных;

3) правовое основание обработки персональных данных;

4) иные сведения в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

3.10. Срок обработки персональных данных определяется периодом времени, в течение которого Оператор осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки.

3.11. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. При несовместимости целей обработки персональных данных, не допускается объединение баз данных.

При этом, если персональные данные зафиксированы на одном материальном носителе и указанное не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

3.12. Обработка персональных данных осуществляется с момента их получения Оператором и прекращается:

- по достижении целей обработки;

- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки;

- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных.

3.13. В случае прекращения обработки персональных данных Оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных.

3.14. Передача персональных данных может осуществляться Оператором на основании письменных запросов, в том числе запросов в форме электронного документа, а также в рамках заключенных письменных договоров (соглашений).

Основанием передачи персональных данных органам государственной власти, органам местного самоуправления, судебным органам, органам прокуратуры и следствия, физическим и юридическим лицам является:

- наличие норм законодательства, регламентирующих порядок и случаи передачи персональных данных;

- наличие письменного согласия субъекта персональных данных на обработку (в том числе передачу) его персональных данных.

3.15. При передаче персональных данных уполномоченный работник должен соблюдать следующие требования:

- не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, прямо установленных законодательством Российской Федерации;

- уведомить получающих их лиц о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

- уведомить субъекта персональных данных о факте их передачи;

- не вносить в материальные и электронные носители персональных данных какие-либо пометки, исправления, не вносить новые записи, не извлекать документы или помещать новые, если это нарушает порядок обработки персональных данных.

3.16. При обработке персональных данных Оператор обязан принимать следующие правовые, организационные и технические меры по обеспечению безопасности персональных данных:

- определение типа угроз безопасности персональных данных и соответствующего ему уровня защищенности персональных данных при их обработке;

- разработка в соответствии с актуальными угрозами системы защиты персональных данных для соответствующего уровня защищённости информационных систем;

- учет машинных носителей персональных данных;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации;

- применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи;

- осуществление антивирусного контроля, предотвращение внедрения в информационную систему вредоносных программ (программ-вирусов) и программных закладок;

- применение межсетевого экранирования;

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

- централизованное управление системой защиты персональных данных;

- резервное копирование информации;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;

- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3.17. Защита персональных данных субъектов персональных данных в Агентстве от неправомерного их использования или утраты обеспечивается за счет средств, предусмотренных на содержание Агентства.

3.18. Хранение, блокирование, уничтожение персональных данных осуществляется в соответствии с разделом 6 настоящих Правил.

4. Меры, направленные на обеспечение выполнения требований законодательства Российской Федерации в сфере персональных данных

4.1. В Агентстве принимаются меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам относятся:

- назначение должностного лица, ответственного за организацию обработки персональных данных;

- осуществление внутреннего контроля соответствия обработки персональных данных нормам Федерального закона "О персональных данных" и принятым в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам, принятым в Агентстве;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом;

- ознакомление должностных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и обучение ответственных должностных лиц Оператора;

- определение перечня гражданских служащих и лиц, замещающих государственные должности Камчатского края, имеющих доступ к персональным данным;

5. Обязанности уполномоченных работников по защите персональных данных

5.1. Уполномоченные работники обязаны:

- знать и выполнять требования законодательства Российской Федерации в области обеспечения защиты персональных данных, в том числе соблюдать Правила;

- хранить в тайне известные им персональные данные, информировать руководителя структурного подразделения о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

- соблюдать порядок хранения и уничтожения персональных данных, исключить доступ к ним посторонних лиц;

- обрабатывать только те персональные данные, к которым получен доступ в силу исполнения должностных обязанностей.

5.2. При обработке персональных данных уполномоченным работникам запрещается:

- использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

- передавать персональные данные по незащищенным каналам связи (факсимильная связь, электронная почта и т.п.) либо без использования сертифицированных средств криптографической защиты информации;

- снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные, в неслужебных целях;

- выносить документы и другие носители информации, содержащие персональные данные, из помещений Агентства без разрешения непосредственного руководителя структурного подразделения Агентства.

6. Порядок хранения, блокирования, прекращения обработки, обезличивания, уточнения и уничтожения персональных данных

6.1. Персональные данные хранятся на бумажных или материальных носителях информации (компакт-диск, флэш-карта, дискета), а также в электронной форме в специализированном программном обеспечении в соответствующих структурных подразделениях Агентства.

6.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.3. Места хранения документов, содержащих персональные данные в Агентстве:

1) для бухгалтерских документов:

- табеля учета рабочего времени, ведомости начисления заработной платы, налоговые карточки по учету доходов и налога на доходы физических лиц, копии свидетельств о рождении, копии распоряжений руководителя Агентства по кадровому составу и по основной деятельности хранятся в запираемых шкафах;

2) обращения граждан хранятся в кабинете в запираемых шкафах.

6.4. В случае достижения целей обработки персональных данных, в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, а также в случае утраты необходимости в их достижении уполномоченный работник обязан:

- незамедлительно прекратить или обеспечить прекращение обработки персональных данных;

- уничтожить соответствующие персональные данные или обеспечить их уничтожение в срок, не превышающий 30 дней с даты достижения целей обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

6.5. Обезличивание или уничтожение части персональных данных, если это допускается бумажным носителем, производится закрашиванием, вырезанием или иным способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных персональных данных, зафиксированных на бумажном носителе.

6.6. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных уполномоченный работник обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных уполномоченный работник обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

6.7. В случае подтверждения факта неточности персональных данных уполномоченный работник на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6.8. В случае выявления неправомерной обработки персональных данных, уполномоченный работник в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, уполномоченный работник в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченный работник обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

6.9. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, уполномоченный работник обязан прекратить обработку персональных данных или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

6.10. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4; 6.8; 6.9 настоящих Правил, уполномоченный работник осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6.11. Документы, содержащие персональные данные, при достижении целей обработки или при наступлении других законных оснований, не подлежащие архивному хранению, подлежат уничтожению способом, исключающим дальнейшую обработку персональных данных. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления информации.