Приказ Министерства природных ресурсов и охраны окружающей среды Ставропольского края
от 7 мая 2013 г. N 135
"Об утверждении документов, направленных на реализацию постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"
В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 01 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
См.:
Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"
Закон Ставропольского края от 1 марта 2005 г. N 4-кз "О некоторых вопросах государственной гражданской службы Ставропольского края"
Приказ Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 7 мая 2013 г. N 132 "Об утверждении форм документов, необходимых для осуществления обработки, получения и передачи персональных данных работников Министерства природных ресурсов и охраны окружающей среды Ставропольского края"
1. Утвердить прилагаемые:
1.1. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в министерстве природных ресурсов и охраны окружающей среды Ставропольского края.
1.2. Правила рассмотрения запросов субъектов персональных данных или их представителей в министерстве природных ресурсов и охраны окружающей среды Ставропольского края.
1.3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами министерства природных ресурсов и охраны окружающей среды Ставропольского края.
1.4. Правила работы с обезличенными данными в министерстве природных ресурсов и охраны окружающей среды Ставропольского края.
1.5. Порядок доступа государственных гражданских служащих, замещающих должности государственной гражданской службы в министерстве природных ресурсов и охраны окружающей среды Ставропольского края, в помещения, где ведется обработка персональных данных.
1.6. Перечень информационных систем персональных данных министерства природных ресурсов и охраны окружающей среды Ставропольского края.
1.7. Перечень персональных данных, обрабатываемых в министерстве природных ресурсов и охраны окружающей среды Ставропольского края в связи с реализацией трудовых отношений, а также с предоставлением государственных услуг и исполнением государственных функций.
1.8. Перечень должностей государственных гражданских служащих, замещающих должности государственной гражданской службы в министерстве природных ресурсов и охраны окружающей среды Ставропольского края, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.
1.9. Положение о персональных данных работников министерства природных ресурсов и охраны окружающей среды Ставропольского края.
2. Признать утратившим силу приказ министерства природных ресурсов и охраны окружающей среды Ставропольского края от 21.10.2011 N 406 "Об утверждении положения об обработке и о защите персональных данных".
3. Контроль за выполнением настоящего приказа оставляю за собой.
4. Настоящий приказ вступает в силу со дня его подписания.
Первый заместитель министра |
А.В. Елисеев |
Правила
обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок
уничтожения при достижении целей обработки или при наступлении иных законных оснований в Министерстве природных ресурсов и охраны окружающей среды Ставропольского края
(утв. приказом Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 7 мая 2013 г. N 135)
I. Общие положения
1. Настоящие Правила обработки персональных данных в министерстве природных ресурсов и охраны окружающей среды Ставропольского края (далее - Правила) устанавливают единый порядок обработки персональных данных в министерстве природных ресурсов и охраны окружающей среды Ставропольского края (далее - министерство).
2. Обработка персональных данных в министерстве осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе N 152-ФЗ.
4. Целью настоящих Правил является обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты.
См. Приказ Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 7 мая 2013 г. N 134 "Об утверждении должностной инструкции ответственного за организацию обработки персональных данных в министерстве природных ресурсов и охраны окружающей среды Ставропольского края"
5. Настоящие Правила устанавливают и определяют:
процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
цели обработки персональных данных;
содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;
категории субъектов, персональные данные которых обрабатываются;
сроки обработки и хранения обрабатываемых персональных данных;
порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований.
6. Основные условия обработки персональных данных:
6.1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:
после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных пунктами 2 - 7, 9 - 11 части 1 статьи 6 Федерального закона N 152-ФЗ;
после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ставропольскому краю, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона N 152-ФЗ.
6.2. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации.
II. Процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных
7. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации.
7.1. Информационные ресурсы, содержащие персональные данные, созданные, приобретенные, накопленные в министерстве, а также полученные путем иных установленных законом способов, являются собственностью министерства и не могут быть использованы иначе, как с разрешения министра или в установленных законом случаях.
7.2. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, относятся:
назначение ответственного за организацию обработки персональных данных в министерстве;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона N 152-ФЗ;
осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами;
запрет на обработку персональных данных лицами, не допущенными к их обработке;
запрет на обработку персональных данных под диктовку.
7.3. Документы, определяющие политику оператора в отношении обработки персональных данных, подлежат обязательному опубликованию.
7.4. За разглашение информации, содержащей персональные данные, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение режима защиты, обработки и порядка использования этой информации работник может быть привлечен к дисциплинарной или иной ответственности, предусмотренной действующим законодательством.
8. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации:
8.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации министерства осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
8.2. При эксплуатации автоматизированных информационных систем необходимо соблюдать следующие требования:
к работе допускаются только лица, назначенные соответствующим приказом по министерству;
на персональных электронных вычислительных машинах (далее - ПЭВМ), дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
на период обработки защищаемой информации в помещении могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации;
допуск других лиц в указанный период может осуществляться с разрешения министра или заместителя министра, отвечающего за защиту информации в министерстве.
8.3. Руководители подразделений министерства, работники министерства (пользователи информации) обязаны контролировать и выполнять предусмотренные в министерстве меры по защите информации, содержащей персональные данные.
8.4. Руководители подразделений министерства обязаны:
участвовать в подготовке перечня персональных данных, обрабатываемых на ПЭВМ подразделения;
готовить к утверждению списки работников, которых по своим должностным обязанностям необходимо допустить к работе с персональными данными в информационной системе министерства;
контролировать целевое использование работниками ресурсов сети Интернет;
контролировать выполнение пользователями общих правил работы на ПЭВМ и в локальной вычислительной сети министерства (далее - ЛВС);
выборочно контролировать характер исходящей информации, направляемой пользователями по электронной почте другим адресатам, и принимать оперативные меры к соблюдению ими установленных требований по защите персональных данных;
при обнаружении нарушений установленных требований по защите персональных данных, в результате которых вскрыты факты их разглашения, прекратить работы на рабочем месте, где обнаружены нарушения, доложить министру или заместителю министра, отвечающему за защиту информации в министерстве, и поставить в известность начальника отдела кадрового, документационного обеспечения и общей работы;
инициировать служебные расследования по фактам разглашения информации, содержащей персональные данные, или утери документов, содержащих такую информацию, по фактам нарушений пользователями правил, установленных для работы с персональными данными в ЛВС, а также нарушений требований по защите информации;
обеспечивать условия для работы специалистов по защите информации при проверке в подразделении эффективности предусмотренных мер защиты информации.
8.5. При приеме на работу работник предупреждается об ответственности за разглашение сведений, содержащих персональные данные, которые станут ему известными в связи с предстоящим выполнением своих служебных обязанностей.
8.6. Пользователь обязан:
знать правила работы в ЛВС и принятые меры по защите ресурсов ЛВС (в части, его касающейся);
при работе на своей рабочей станции (ПЭВМ) и в ЛВС выполнять только служебные задания;
перед началом работы на ПЭВМ проверить свои рабочие папки на жестком магнитном диске, рабочие дискеты и CD-диски на отсутствие вирусов с помощью штатных средств антивирусной защиты, убедиться в исправности своей рабочей станции;
при сообщениях тестовых программ о появлении вирусов немедленно прекратить работу, доложить администратору сети и своему непосредственному начальнику;
при обработке информации, содержащей персональные данные, использовать только зарегистрированные машинные носители информации (далее - МНИ);
при необходимости использования магнитных носителей, поступивших из других подразделений, учреждений, предприятий и организаций, прежде всего провести проверку этих носителей на отсутствие вирусов;
выполнять предписания администратора сети и ответственного за защиту информации в министерстве;
представлять для контроля свою рабочую станцию (ПЭВМ) руководителю подразделения и администратору сети;
сохранять в тайне свой индивидуальный пароль, периодически изменять его и не сообщать другим лицам;
вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;
учет, размножение, обращение печатных материалов, содержащих персональные данные, проводить в соответствии с Инструкцией по делопроизводству в министерстве природных ресурсов и охраны окружающей среды Ставропольского края;
при обнаружении различных неисправностей в работе компьютерной техники или ЛВС, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек, печатей), несоответствии номеров на аппаратных средствах сообщить администратору сети и поставить в известность руководителя подразделения.
Пользователю при работе запрещается:
играть в компьютерные игры;
приносить различные компьютерные программы и пытаться установить их на локальный диск компьютера без уведомления администратора сети;
перенастраивать программное обеспечение компьютера;
самостоятельно вскрывать системный блок и периферийное оборудование рабочей станции (ПЭВМ);
запускать на своей рабочей станции (ПЭВМ) или другой рабочей станции сети любые системные или прикладные программы, кроме установленных специалистами по защите информации или администратором сети;
изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;
оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации (при наличии), магнитные носители и распечатки, содержащие персональные данные;
допускать к подключенной в сеть рабочей станции (ПЭВМ) посторонних лиц;
производить копирование для временного хранения информации, содержащей персональные данные, на неучтенные носители;
работать на рабочей станции сети с информацией, содержащей персональные данные, при обнаружении неисправностей станции;
умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к утечке, блокированию, искажению или утере информации, содержащей персональные данные;
отсылать по электронной почте информацию личного или коммерческого характера для решения личных проблем, а также информацию по просьбе третьих лиц без согласования с руководителем подразделения;
запрашивать и получать из сети Интернет материалы развлекательного характера (игры, клипы и т.д.);
запрашивать и получать из сети Интернет программные продукты, кроме случаев, связанных со служебной необходимостью. При этом необходимо согласование с руководителем своего подразделения и администратором сети;
входить в другие компьютерные системы через сеть без разрешения администратора сети.
8.7. Работники не могут использовать в личных целях персональные данные, ставшие известными им вследствие выполнения служебных обязанностей.
9. Порядок обработки персональных данных без использования средств автоматизации.
9.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
9.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
9.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
9.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных (при необходимости получения письменного согласия на обработку персональных данных);
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
9.5. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
9.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
9.7. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных - осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных - уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
9.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
9.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
9.10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
III. Цели обработки персональных данных
10. Целью обработки персональных данных является:
осуществление возложенных на министерство федеральным законодательством, законодательством Ставропольского края и Положением о министерстве природных ресурсов и охраны окружающей среды Ставропольского края, утвержденным постановлением Правительства Ставропольского края от 02 июля 2012 г. N 221-п (в ред. постановлений Правительства Ставропольского края от 26 октября 2012 г. N 414-п, от 28 декабря 2012 г. N 539-п), полномочий и обязанностей по осуществлению государственного управления и нормативно-правового регулирования в области охраны окружающей среды, радиационной безопасности, охраны атмосферного воздуха, недропользования, организации и функционирования особо охраняемых природных территорий краевого значения, лесных отношений, водных отношений на территории Ставропольского края, а также отдельных полномочий Российской Федерации в области лесных отношений, водных отношений, охраны и использования животного мира, охоты и сохранения охотничьих ресурсов, экологической экспертизы, переданных для осуществления органам государственной власти Ставропольского края;
организация деятельности министерства для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, права на пенсионное обеспечение и медицинское страхование работников министерства.
IV. Содержание обрабатываемых персональных данных
11. К персональным данным, обрабатываемым для достижения целей, указанных в подпункте 1 пункта 10 настоящих Правил (осуществление функций, полномочий и обязанностей по решению вопросов установленной сферы деятельности), относятся:
По-видимому, в тексте предыдущего абзаца допущена опечатка. В пункте 10 Правил подпункт 1 отсутствует, имеется в виду "абзац второй пункта 10"
анкетные данные, включая адрес места жительства и проживания;
паспортные данные или данные иного документа, удостоверяющего личность и гражданство (включая серию, номер, дату выдачи, наименование органа, выдавшего документ);
сведения о родственниках (когда это необходимо в случаях, установленных законом);
сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
сведения об отношении к воинской обязанности;
сведения об идентификационном номере налогоплательщика;
сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
сведения о реквизитах банковского счета;
сведения о социальных льготах и о социальном статусе.
12. К персональным данным, обрабатываемым для достижения целей, указанных в подпункте 2 пункта 10 настоящих Правил (организация деятельности министерства для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, права на пенсионное обеспечение и медицинское страхование работников министерства), относятся:
По-видимому, в тексте предыдущего абзаца допущена опечатка. В пункте 10 Правил подпункт 2 отсутствует, имеется в виду "абзац третий пункта 10"
анкетные и биографические данные гражданина, включая адрес места жительства и проживания, контактный (сотовый) телефон;
паспортные данные или данные иного документа, удостоверяющего личность и гражданство (включая серию, номер, дату выдачи, наименование органа, выдавшего документ);
сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (включая серию, номер, дату выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, дату начала и завершения обучения);
сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовках;
сведения о номере, серии, дате выдачи трудовой книжки (вкладыша в нее) и записях в ней, содержание и реквизиты трудового договора (контракта);
сведения о составе семьи и наличии иждивенцев, их месте работы или учебы;
информация о допуске к государственной тайне;
сведения и заключения о состоянии здоровья установленной формы об отсутствии у гражданина заболеваний, препятствующих поступлению на государственную гражданскую службу или ее прохождению;
сведения и заключения установленной формы об отсутствии медицинских противопоказаний для работы со сведениями, составляющими государственную тайну;
сведения об отношении к воинской обязанности;
сведения о доходах и обязательствах имущественного характера, в том числе супруги (супруга) и несовершеннолетних детей;
сведения об идентификационном номере налогоплательщика;
сведения о социальных льготах и о социальном статусе;
сведения о страховом полисе обязательного (добровольного) медицинского страхования;
сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
реквизиты банковского счета;
национальность;
фотография.
V. Категории субъектов, персональные данные которых обрабатываются
13. К субъектам, персональные данные которых обрабатываются, относятся:
граждане, обратившиеся в министерство с жалобами, заявлениями и по другим вопросам, касающимся установленной сферы деятельности;
граждане, претендующие на замещение должности государственной гражданской службы в министерстве;
граждане, замещающие (замещавшие) должности государственной гражданской службы в министерстве.
VI. Сроки обработки и хранения обрабатываемых персональных данных
14. Сроки обработки и хранения персональных данных определяются:
приказом Минкультуры Российской Федерации от 25 августа 2010 г. N 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения";
сроком исковой давности;
иными требованиями законодательства Российской Федерации, нормативными правовыми актами Ставропольского края, нормативными правовыми актами министерства.
15. Особенности хранения персональных данных.
Если срок хранения персональных данных не установлен законодательством Российской Федерации, нормативными правовыми актами Ставропольского края, нормативными правовыми актами министерства или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
VII. Порядок уничтожения обработанных персональных данных
16. Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
17. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
18. Порядок уничтожения обработанных персональных данных.
Уничтожению подлежат утратившие практическое значение и не имеющие исторической или иной ценности носители информации, содержащие персональные данные. При уничтожении таких носителей должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
Уничтожение производится путем сожжения, расплавления, дробления, растворения, химического разложения или превращения в мягкую бесформенную массу или порошок. Допускается уничтожение документов путем измельчения в бумажную сечку. Магнитные и фотографические носители уничтожаются сожжением, дроблением, расплавлением и другими способами, исключающими возможность их восстановления.
Уничтожение обработанных персональных данных производится в присутствии членов комиссии, с составлением соответствующего акта. Состав комиссии назначается приказом министра сроком на 1 год. В комиссию назначаются лица, допущенные к работе с персональными данными и являющиеся экспертами в различных областях деятельности министерства, имеющие непосредственное отношение к уничтожаемым материалам.
На документальные материалы, отобранные комиссией для уничтожения, составляется акт об уничтожении документов, который подписывается членами комиссии и утверждается министром.
Отобранные и включенные в акт об уничтожении документальные материалы после их сверки членами комиссии хранятся отдельно от других материалов.
Уничтожение документальных материалов, до утверждения акта об уничтожении документов министром, запрещается.
Уничтожение должно производиться в возможно короткий срок после утверждения министром акта об уничтожении документов.
19. Без оформления акта уничтожаются: испорченные бумажные и технические носители, черновики, проекты документов и другие материалы, образовавшиеся при исполнении документов, содержащих персональные данные.
В процедуру уничтожения документов и носителей информации без составления акта входит проведение следующих мероприятий:
разрывание листов, разрушение магнитного или иного технического носителя в присутствии исполнителя и руководителя подразделения, допущенных к обработке персональных данных;
накапливание остатков носителей в опечатываемом ящике (урне);
физическое уничтожение остатков носителей несколькими сотрудниками подразделения, допущенными к работе с персональными данными;
внесение отметок об уничтожении в учетные формы документов и носителей.
Первый заместитель министра |
А.В. Елисеев |
Правила
рассмотрения запросов субъектов персональных данных или их представителей в Министерстве природных ресурсов и охраны окружающей среды Ставропольского края
(утв. приказом Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 7 мая 2013 г. N 135)
I. Общие положения
1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в министерстве природных ресурсов и охраны окружающей среды Ставропольского края (далее - Правила) устанавливают единый порядок рассмотрения запросов субъектов персональных данных или их представителей в министерстве природных ресурсов и охраны окружающей среды Ставропольского края (далее - министерство).
2. Рассмотрение запросов субъектов персональных данных или их представителей в министерстве осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе N 152-ФЗ.
4. Целью настоящих Правил является реализация прав субъекта персональных данных на получение информации, касающейся обработки его персональных данных в министерстве.
5. К субъектам, персональные данные которых обрабатываются, относятся:
граждане, обратившиеся в министерство с жалобами, заявлениями и по другим вопросам, касающимся установленной сферы деятельности;
граждане, претендующие на замещение должности государственной службы в министерстве;
граждане, замещающие (замещавшие) должности государственной службы в министерстве.
II. Права субъекта персональных данных
6. Право субъекта персональных данных на доступ к его персональным данным.
6.1. Субъект персональных данных имеет право на получение сведений, указанных в пункте 6.7, за исключением случаев, предусмотренных пунктом 6.8. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2. Сведения, указанные в пункте 6.7, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.3. Сведения, указанные в пункте 6.7, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. В запросе указываются сведения о субъекте персональных данных или его представителе в соответствии с пунктом 9.
6.4. В случае если сведения, указанные в пункте 6.7, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 6.7, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 6.7, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 6.4, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 9, должен содержать обоснование направления повторного запроса.
6.6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 6.4 и 6.5 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
6.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом N 152-ФЗ;
информацию об осуществленной или предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами.
6.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7. Право на обжалование действий или бездействия оператора.
7.1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона N 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Об оспаривании решений, действий (бездействия) органов государственной власти, органов местного самоуправления, иных органов, организаций, наделенных отдельными государственными или иными публичными полномочиями, должностных лиц, государственных и муниципальных служащих см. главу 22 Кодекса административного судопроизводства РФ от 8 марта 2015 г. N 21-ФЗ, а также Арбитражный процессуальный кодекс Российской Федерации
7.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
III. Порядок предоставления оператором сведений по запросу субъекта персональных данных
8. При обращении либо при получении запроса субъекта персональных данных или его представителя сведения должны быть предоставлены в доступной форме. Запрос регистрируется в день поступления.
9. Запрос субъекта персональных данных должен содержать сведения, позволяющие провести его идентификацию:
фамилию, имя, отчество субъекта персональных данных и его представителя;
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10. Оператор при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных обязан сообщить в порядке статьи 14 Федерального закона N 152-ФЗ субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение 30 (тридцати) дней с даты получения запроса.
В случае отказа в предоставлении информации о наличии персональных данных оператор обязан дать в письменной форме мотивированный ответ со ссылкой на действующее законодательство, являющегося основанием для такого отказа. Отказ в предоставлении информации направляется в срок, не превышающий 30 (тридцать) дней со дня получения запроса субъекта персональных данных.
11. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор в срок, не превышающий 7 (семь) рабочих дней, вносит в них необходимые изменения. О внесенных изменениях уведомляется субъект персональных данных или его представитель.
12. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные в срок, не превышающий 7 (семь) рабочих дней. Об уничтоженных персональных данных уведомляется субъект персональных данных или его представитель.
13. Возможность ознакомления с персональными данными предоставляется на безвозмездной основе лицом, ответственным за обработку персональных данных.
Первый заместитель министра |
А.В. Елисеев |
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Министерства природных ресурсов и охраны окружающей среды Ставропольского края
(утв. приказом Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 7 мая 2013 г. N 135)
1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами министерства природных ресурсов и охраны окружающей среды Ставропольского края (далее - Правила) устанавливают порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве природных ресурсов и охраны окружающей среды Ставропольского края (далее - министерство).
2. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве осуществляется в соответствии с Федеральным законом N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), постановлением Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе N 152-ФЗ.
4. Целью настоящих Правил является обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты, определение порядка и правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
5. Настоящие Правила устанавливают и определяют:
виды и периодичность внутреннего контроля;
порядок создания комиссии для осуществления внутреннего контроля;
порядок проведения внутренней проверки.
6. Внутренний контроль соответствия обработки персональных данных делится на текущий и комиссионный.
7. Текущий внутренний контроль осуществляется на постоянной основе ответственным за обработку персональных данных в ходе мероприятий по обработке персональных данных.
Ответственный за организацию обработки персональных данных в министерстве имеет право:
запрашивать у сотрудников министерства информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить министру предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить министру предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
8. Комиссионный внутренний контроль осуществляется комиссией, образуемой распоряжением министра из числа государственных служащих министерства, допущенных к обработке персональных данных, но носит периодический характер. Периодичность проверки - не реже одного раза в год.
Комиссионные проверки соответствия обработки персональных данных установленным требованиям в министерстве проводятся на основании утвержденного министром плана осуществления комиссионного внутреннего контроля соответствия обработки персональных данных установленным требованиям, разрабатываемого председателем комиссии, или на основании поступившего в министерство письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в ее результатах.
9. При проведении внутренней проверки соответствия обработки персональных данных установленным требованиям комиссией должны быть полностью, объективно и всесторонне установлены соответствия по следующим положениям:
наличие, учет, порядок хранения и обезличивания персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; осуществление мероприятий по обеспечению целостности персональных данных.
10. В отношении персональных данных, ставших известными членам комиссии или ответственному за организацию обработки персональных данных в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
11. Срок проведения проверки комиссией не может составлять более 30 (тридцати) дней со дня принятия решения о ее проведении.
12. Результаты проверки оформляются в виде Протокола проведения внутренней проверки. Форма Протокола приведена в Приложении к настоящим Правилам.
13. При выявлении в ходе проверки нарушений ответственным за организацию обработки персональных данных в министерстве либо Председателем комиссии в Протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.
14. Протоколы хранятся у ответственного за организацию обработки персональных данных в течение текущего года. Уничтожение Протоколов проводится ответственным за организацию обработки персональных данных самостоятельно в январе года, следующего за проверочным годом.
15. О результатах проверки и мерах, необходимых для устранения нарушений, министру докладывает ответственный за организацию обработки персональных данных в министерстве либо председатель комиссии.
Первый заместитель министра |
А.В. Елисеев |
Приложение
к Правилам
осуществления внутреннего
контроля соответствия
обработки персональных данных
требованиям к защите
персональных данных
Протокол
проведения внутренней проверки условий обработки персональных данных в министерстве природных ресурсов и охраны окружающей среды Ставропольского края
Настоящий Протокол составлен в том, что __.______.20__ г.
ответственным за организацию обработки персональных данных/комиссией по внутреннему контролю проведена проверка ___________________________________
тема проверки_______________________________________________________________
Проверка осуществлялась в соответствии с требованиями___________________________
_________________________________________________________________________ __
название документа
В ходе работы проверено:
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
Выявленные нарушения:
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
Меры по устранению нарушений:
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
_________________________________________________________________________ __
Срок устранения нарушений: ____________________________________________
Должность ответственного за организацию обработки персональных данных в министерстве ________________________ |
И.О. Фамилия |
либо
Председатель комиссии ________________________ |
И.О. Фамилия |
Члены комиссии:
Должность ________________________ |
И.О. Фамилия |
Должность ________________________ |
И.О. Фамилия |
Должность ________________________ |
И.О. Фамилия |
Должность руководителя проверяемого подразделения __________ |
И.О. Фамилия |
Правила
работы с обезличенными данными в Министерстве природных ресурсов и охраны окружающей среды Ставропольского края
(утв. приказом Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 7 мая 2013 г. N 135)
1. Настоящие Правила работы с обезличенными персональными данными, обрабатываемыми в министерстве природных ресурсов и охраны окружающей среды Ставропольского края (далее - Правила), разработаны в соответствии Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), Постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют порядок работы с обезличенными персональными данными министерства природных ресурсов и охраны окружающей среды Ставропольского края (далее - министерство).
2. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе N 152-ФЗ.
3. Условия обезличивания.
3.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных министерства и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Способы обезличивания при условии дальнейшей обработки персональных данных:
уменьшение перечня обрабатываемых сведений;
замена части сведений идентификаторами;
обобщение - понижение точности некоторых сведений;
понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
деление сведений на части и обработка в разных информационных системах;
другие способы.
3.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
3.4. Для обезличивания персональных данных годятся любые способы, не запрещенные законом.
3.5. Перечень должностей министерства, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в Приложении к настоящим правилам.
3.6. Решение о необходимости обезличивания персональных данных принимается министром. Работники министерства, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания. После этого работники министерства, обслуживающие базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
4. Порядок работы с обезличенными персональными данными.
4.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
4.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
4.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
парольной политики;
антивирусной политики;
правил работы со съемными носителями (если они используются);
правил резервного копирования;
правил доступа в помещения, где расположены элементы информационных систем.
Первый заместитель министра |
А.В. Елисеев |
Приложение
к Правилам
работы с обезличенными
персональными данными,
обрабатываемыми в министерстве
природных ресурсов и охраны
окружающей среды Ставропольского края
Перечень
должностей государственных гражданских служащих Министерства природных ресурсов и охраны окружающей среды Ставропольского края, ответственных за проведение мероприятий по обезличиванию персональных данных
1. Министр природных ресурсов и охраны окружающей среды Ставропольского края.
2. Первый заместитель министра.
3. Начальник отдела кадрового, документационного обеспечения и общей работы.
4. Главный специалист отдела кадрового, документационного обеспечения и общей работы.
5. Ведущий специалист отдела кадрового, документационного обеспечения и общей работы.
6. Ведущий специалист 2 разряда отдела кадрового, документационного обеспечения и общей работы - ответственный за техническую защиту информации.
7. Начальник отдела бухгалтерского учета, отчетности и контроля - главный бухгалтер.
8. Ведущий специалист 2 разряда отдела бухгалтерского учета, отчетности и контроля.
9. Начальник отдела охраны животного и растительного мира, организации и функционирования особо охраняемых природных территорий.
10. Начальник отдела лицензионно-разрешительной деятельности.
11. Главный специалист отдела лицензионно-разрешительной деятельности.
Первый заместитель министра |
А.В. Елисеев |
Порядок
доступа государственных гражданских служащих, замещающих должности государственной гражданской службы в Министерстве природных ресурсов и охраны окружающей среды Ставропольского края, в помещения, где ведется обработка персональных данных
(утв. приказом Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 7 мая 2013 г. N 135)
1. Настоящий Порядок доступа государственных служащих министерства природных ресурсов и охраны окружающей среды Ставропольского края в помещения, в которых ведется обработка персональных данных (далее - Порядок), разработан в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
2. Целью настоящего Порядка является исключение несанкционированного доступа к персональным данным субъектов персональных данных в министерстве природных ресурсов и охраны окружающей среды Ставропольского края (далее - министерство).
3. Персональные данные относятся к конфиденциальной информации. Работники и должностные лица министерства, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
4. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в том числе, установлением правил доступа в помещения, где обрабатываются персональные данные в информационной системе персональных данных и без использования средств автоматизации.
5. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
6. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только работники и должностные лица министерства, имеющие доступ к персональным данным.
7. Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не являющихся работниками и должностными лицами министерства, получившими доступ к персональным данным, возможно только в присутствии работников и должностных лиц министерства, получивших доступ к персональным данным на время, ограниченное необходимостью решения вопросов, связанных с исполнением должностных функций и (или) осуществлением полномочий в рамках договоров, заключенных с министерством.
8. Работники и должностные лица министерства, получившие доступ к персональным данным, не должны покидать помещение, в котором ведется обработка персональных данных, оставляя в нем без присмотра посторонних лиц, включая работников министерства, не уполномоченных на обработку персональных данных.
9. Ответственными за организацию доступа в помещения министерства, в которых ведется обработка персональных данных, являются должностные лица министерства.
10. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится лицом, ответственным за организацию обработки персональных данных, или комиссией, утверждаемой приказом министра.
11. После окончания рабочего дня дверь каждого помещения, в котором ведется обработка персональных данных, закрывается на ключ и опечатывается.
Первый заместитель министра |
А.В. Елисеев |
Перечень
информационных систем персональных данных министерства природных ресурсов и охраны окружающей среды Ставропольского края
(утв. приказом Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 7 мая 2013 г. N 135)
N п/п |
Наименование |
Класс |
1. |
"1С Зарплата и Кадры", "1С Бухгалтерия" |
К3 |
2. |
ПК "Кадры государственной и муниципальной службы", ПК "Награды", ПК "Резерв" |
К3 |
3. |
Система электронного документооборота и делопроизводства "СЭД Дело" |
К1 |
4. |
ПК "Хозсубъекты" |
К4 |
Первый заместитель министра |
А.В. Елисеев |
Перечень
персональных данных, обрабатываемых в Министерстве природных ресурсов и охраны окружающей среды Ставропольского края в связи с реализацией трудовых отношений, а также с предоставлением государственных услуг и исполнением государственных функций
(утв. приказом Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 7 мая 2013 г. N 135)
Персональные данные, обрабатываемые в министерстве природных ресурсов и охраны окружающей среды Ставропольского края в связи с реализацией трудовых отношений
Фамилия, имя, отчество;
пол;
дата рождения;
место рождения;
гражданство;
контактный (сотовый) телефон;
адрес места регистрации;
адрес места проживания;
адрес для информирования;
паспортные данные;
номер свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации, идентификационный номер налогоплательщика;
номер страхового свидетельства обязательного пенсионного страхования;
информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающих образование: наименование, номер, дата выдачи, специальность, квалификация);
информация о трудовой деятельности до приема на работу;
информация о трудовом стаже (место работы, должность, период работы, причины увольнения);
информация о знании иностранных языков;
форма допуска к государственной тайне;
ученая степень, ученое звание;
денежное содержание, оклад;
данные о служебном контракте (номер, дата заключения, вид работы, наличие испытания, режим труда, длительность основанного и дополнительных отпусков, дополнительные социальные льготы и гарантии, характер работы, форма оплаты, условия труда, продолжительность рабочей недели, система оплаты);
По-видимому, в тексте предыдущего абзаца допущена опечатка. Слово "основанного" следует читать: "основного"
сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
данные об аттестации;
данные о повышении квалификации;
информация о профессиональной переподготовке, стажировке;
данные о наградах, поощрениях, почетных званиях;
информация о дисциплинарных взысканиях, судимостях, исполнительных листах;
информация о приеме на работу, перемещении по должности, увольнении;
информация об отпусках;
информация о командировках;
сведения и заключения о состоянии здоровья установленной формы об отсутствии у гражданина заболеваний, препятствующих поступлению на государственную гражданскую службу или ее прохождению;
информация о государственном/негосударственном пенсионном обеспечении;
реквизиты банковского счета;
данные о семейном положении, составе семьи, сведения о близких родственниках;
сведения о доходах, об имуществе и обязательствах имущественного характера/о доходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей;
фотография.
Персональные данные, обрабатываемые в министерстве природных ресурсов и охраны окружающей среды Ставропольского края в связи с предоставлением государственных услуг и исполнением государственных функций
Фамилия, имя, отчество;
дата рождения;
адрес места регистрации;
адрес места проживания/фактического местонахождения;
данные документа, удостоверяющего личность субъекта персональных данных;
почтовый адрес;
номера телефонов, факсов, адрес электронной почты;
индивидуальный налоговый номер;
номер страхового свидетельства обязательного пенсионного страхования;
реквизиты банковского счета;
данные на доверенное лицо;
информация о наличии (отсутствии) судимости.
Первый заместитель министра |
А.В. Елисеев |
Перечень
должностей государственных гражданских служащих, замещающих должности государственной гражданской службы в Министерстве природных ресурсов и охраны окружающей среды Ставропольского края, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
(утв. приказом Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 7 мая 2013 г. N 135)
Государственные гражданских служащие, замещающие должности государственной гражданской службы в министерстве природных ресурсов и охраны окружающей среды Ставропольского края, допускаются к обработке персональных данных и имеют доступ к персональным данным в случае замещениями ими должностей:
1. Министр природных ресурсов и охраны окружающей среды Ставропольского края.
2. Первый заместитель министра.
3. Заместитель министра.
4. Начальник отдела кадрового, документационного обеспечения и общей работы.
5. Главный специалист отдела кадрового, документационного обеспечения и общей работы.
6. Ведущий специалист отдела кадрового, документационного обеспечения и общей работы.
7. Начальник отдела бухгалтерского учета, отчетности и контроля - главный бухгалтер.
8. Ведущий специалист 2 разряда отдела бухгалтерского учета, отчетности и контроля.
9. Начальник отдела охраны животного и растительного мира, организации и функционирования особо охраняемых природных территорий (в пределах своей компетенции).
10. Государственный инспектор отдела охраны животного и растительного мира, организации и функционирования особо охраняемых природных территорий (в пределах своей компетенции).
11. Начальник отдела лицензионно-разрешительной деятельности (в пределах своей компетенции).
12. Главный специалист отдела лицензионно-разрешительной деятельности (в пределах своей компетенции).
Первый заместитель министра |
А.В. Елисеев |
Положение
о персональных данных работников Министерства природных ресурсов и охраны окружающей среды Ставропольского края
(утв. приказом Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 7 мая 2013 г. N 135)
1. Общие положения
1.1. Настоящим Положением определяется порядок обращения с персональными данными работников министерства природных ресурсов и охраны окружающей среды Ставропольского края (далее - министерство).
1.2. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов министерства и его работников в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.
1.3. Персональные данные работника - любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая министерству в связи с трудовыми отношениями.
1.4. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну министерства). Режим конфиденциальности в отношении персональных данных снимается:
в случае их обезличивания;
по истечении 75 лет срока их хранения;
в других случаях, предусмотренных федеральным законодательством.
2. Основные понятия. Состав персональных данных работников
2.1. Для целей настоящего Положения используются следующие основные понятия:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ);
обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ);
распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ);
предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ);
блокирование персональных данных - временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников (п. 8 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ);
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (п. 9 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ);
информация - сведения (сообщения, данные) независимо от формы их представления;
документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. Информация, представляемая при поступлении на государственную гражданскую службу или работником при поступлении на работу в министерство, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 ТК РФ, ст. 26 Федерального закона от 27 июля 2004 г. N 79-ФЗ лицо, поступающее на работу, предъявляет:
заявление с просьбой о поступлении на гражданскую службу и замещении должности гражданской службы;
собственноручно заполненную и подписанную анкету установленной формы;
паспорт;
трудовую книжку, за исключением случаев, когда служебная (трудовая) деятельность осуществляется впервые;
страховое свидетельство обязательного пенсионного страхования, за исключением случаев, когда служебная (трудовая) деятельность осуществляется впервые;
свидетельство о постановке физического лица на учет в налоговом органе по месту жительства на территории Российской Федерации;
документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
документ об образовании;
сведения о доходах, об имуществе и обязательствах имущественного характера.
2.3. При оформлении работника отделом кадрового, документационного обеспечения и общей работы заполняется унифицированная форма Т-2 "Личная карточка работника", в которой отражаются следующие анкетные и биографические данные работника:
общие сведения (Ф.И.О., дата рождения, место рождения, адрес проживания, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
сведения о воинском учете;
данные о приеме на работу;
сведения об аттестации;
сведения о повышенной квалификации;
сведения о профессиональной переподготовке;
сведения об отпусках;
сведения о месте жительства и о контактных телефонах.
2.4. В отделе кадрового, документационного обеспечения и общей работы министерства создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
2.4.1. Документы, содержащие персональные данные работников:
комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
подлинники и копии приказов (распоряжений) по личному составу;
личные дела и трудовые книжки;
дела, содержащие основания к приказам по личному составу;
дела, содержащие материалы аттестаций работников;
дела, содержащие материалы по служебным проверкам;
справочно-информационный банк данных по персоналу (картотеки, журналы);
подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству министерства, руководителям структурных подразделений;
копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения.
2.5. В отделе бухгалтерского учета, отчетности и контроля министерства создаются и хранятся документы, содержащие следующие данные о работниках в единичном или сводном виде:
общие сведения (Ф.И.О., дата рождения, место рождения, рождения, адрес проживания, должность, стаж работы, состояние в браке, паспортные данные);
индивидуальный налоговый номер (ИНН);
номер страхового свидетельства;
счет пластиковой карты;
комплекс документов, сопровождающих процесс начисления заработной платы при приеме на работу, во время работы и при увольнении.
3. Обработка персональных данных работников
3.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Министерство обязано сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
3.2. Министерство не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.3. Обработка персональных данных работников министерства возможна только с их согласия либо без их согласия в следующих случаях:
персональные данные являются общедоступными;
персональные данные относятся к состоянию здоровья работника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия работника невозможно;
по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законодательством.
3.4. Министерство вправе обрабатывать персональные данные работников только с их письменного согласия.
3.5. Письменное согласие работника на обработку своих персональных данных должно включать в себя:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие, а также порядок его отзыва.
3.6. Согласие работника не требуется в следующих случаях:
обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенных полномочиями министерства;
обработка персональных данных в целях исполнения трудового договора;
обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
3.7. Работник министерства представляет в отдел кадрового, документационного обеспечения и общей работы достоверные сведения о себе. Отдел кадрового, документационного обеспечения и общей работы проверяет достоверность сведений.
3.8. В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина министерство и его законные, полномочные представители при обработке персональных данных работника должны выполнять следующие общие требования:
3.8.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.8.2. При определении объема и содержания обрабатываемых персональных данных министерство должно руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
3.8.3. При принятии решений, затрагивающих интересы работника, министерство не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
3.8.4. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается министерством за счет его средств в порядке, установленном федеральным законом.
3.8.5. Работники и их представители должны быть ознакомлены под расписку с документами министерства, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
3.8.6. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
4. Передача персональных данных
4.1. При передаче персональных данных работника министерство должно соблюдать следующие требования:
4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
4.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим конфиденциальности (секретности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
4.1.4. Осуществлять передачу персональных данных работников в пределах министерства в соответствии с настоящим Положением.
4.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
4.1.7. Передавать персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4.2. Персональные данные работников обрабатываются и хранятся в отделе кадрового, документационного обеспечения и общей работы и в отделе бухгалтерского учета, отчетности и контроля.
4.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
4.4. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
цель обработки персональных данных и ее правовое основание;
предполагаемые пользователи персональных данных;
установленные федеральными законами права субъекта персональных данных.
5. Доступ к персональным данным работников
5.1. Право доступа к персональным данным работников имеют:
министр;
первый заместитель и заместители министра;
специалисты отдела кадрового, документационного обеспечения и общей работы;
специалисты отдела бухгалтерского учета, отчетности и контроля;
начальник отдела кадрового, документационного обеспечения и общей работы - в полном объеме;
руководители структурных подразделений по направлению деятельности - только работников своего подразделения.
5.2. Работник министерства имеет право:
5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
5.2.2. Требовать от министерства уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.
5.2.3. Получать от министерства:
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых персональных данных и источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;
сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.2.4. Требовать извещения министерством всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие министерства при обработке и защите его персональных данных.
5.3. Передача информации третьей стороне возможна только при письменном согласии работников.
6. Ответственность за нарушение норм, регулирующих обработку персональных данных
6.1. Специалисты министерства, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Первый заместитель министра |
А.В. Елисеев |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приказ Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 7 мая 2013 г. N 135 "Об утверждении документов, направленных на реализацию постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"
Настоящий приказ вступает в силу со дня его подписания
Текст приказа опубликован на сайте Министерства природных ресурсов и охраны окружающей среды Ставропольского края www.mpr.stavkray.ru
Приказом Министерства природных ресурсов и охраны окружающей среды Ставропольского края от 19 апреля 2019 г. N 209 настоящий приказ признан утратившим силу с 19 апреля 2019 г.