Приложение N 1. Правила обработки персональных данных в министерстве финансов Красноярского края. Приказ министерства финансов Красноярского края от 07.10.2014 N 102 "Об обработке и защите персональных данных в министерстве финансов Красноярского края" (с изменениями и дополнениями)

Приложение N 1

к Приказу министерства

финансов Красноярского края

от 7 октября 2014 г. N 102

Правила обработки персональных данных
в министерстве финансов Красноярского края

С изменениями и дополнениями от:

19 апреля 2017 г.

1. Общие положения

1.1. Настоящие Правила обработки персональных данных в министерстве финансов Красноярского края (далее - Правила) определяют цели, условия и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в министерстве финансов Красноярского края (далее - министерство).

1.2. Обработка персональных данных выполняется с использованием средств автоматизации или без использования таких средств с персональными данными в министерстве, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в министерстве.

1.3. Настоящие Правила определяют политику министерства как оператора, осуществляющего обработку персональных данных и определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Информация об изменениях:

Приказом министерства финансов Красноярского края от 19 апреля 2017 г. N 50 в пункт 1.4 раздела 1 настоящего Приложения внесены изменения

См. текст пункта в предыдущей редакции

1.4. Настоящие Правила разработаны в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 25.12.2008 N 273-ФЗ "О противодействии коррупции", Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Положением о министерстве финансов Красноярского края, утвержденным постановлением Правительства Красноярского края от 31.07.2008 N 11-п.

Информация об изменениях:

Приказом министерства финансов Красноярского края от 19 апреля 2017 г. N 50 в пункт 1.5 раздела 1 настоящего Приложения внесены изменения

См. текст пункта в предыдущей редакции

1.5. Субъектами персональных данных являются:

лица, замещающие государственные должности Красноярского края в министерстве;

государственные гражданские служащие министерства;

работники министерства, должности которых не отнесены к государственным должностям и должностям государственной гражданской службы;

граждане, претендующие на замещение должностей государственной гражданской службы в министерстве, граждане, обратившиеся в министерство в связи с осуществлением государственных функций.

1.6. Обработка персональных данных в министерстве осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных.

2. Условия и порядок обработки персональных данных

Информация об изменениях:

Приказом министерства финансов Красноярского края от 19 апреля 2017 г. N 50 в пункт 2.1 раздела 2 настоящего Приложения внесены изменения

См. текст пункта в предыдущей редакции

2.1. Обработка персональных данных допускается в следующих случаях:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2.2. До начала обработки персональных данных министерство обязано уведомить уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных согласно статье 22 Федерального закона N 152-ФЗ.

Информация об изменениях:

Приказом министерства финансов Красноярского края от 19 апреля 2017 г. N 50 в пункт 2.3 раздела 2 настоящего Приложения внесены изменения

См. текст пункта в предыдущей редакции

2.3. Целями обработки персональных данных в автоматизированных информационных системах являются:

в программном комплексе "Аксиок" подсистеме "Кадры" - учет движения кадров в государственных учреждениях - формирование информационной базы данных, содержащей анкетные данные государственных гражданских служащих министерства и работников министерства по должностям, не отнесенным к государственным должностям и должностям государственной гражданской службы Красноярского края (далее - сотрудники), а также данные о текущих назначениях и перемещениях, отпусках, командировках и больничных листах; автоматизации некоторых функций сектора по вопросам государственной службы и кадров отдела правовой и кадровой работы, связанных с необходимостью быстрого поиска информации о сотрудниках, расчет различных видов стажей, формирование кадрового резерва министерства; формирование статистических отчетностей и справок, а также контроль назначений и перемещений сотрудников на соответствие штатному расписанию министерства.

Программа позволяет устанавливать защиту от несанкционированного доступа к любым реквизитам анкетных данных сотрудников;

в комплексной системе автоматизации для государственных учреждений "Парус-Бюджет 7" (модули "Расчет заработной платы", "Бухгалтерский учет") - учет отработанного времени; расчет заработной платы; ведение журналов отпусков и больничных листов; выгрузка статистической отчетности, отчетности в фонды; формирование справок о доходах сотрудников и другое;

в программном продукте "Автоматизированная Система Управления Бюджетным Процессом "Автоматизированный Центр Контроля Финансов" (АСУ БП "АЦК-Финансы")" - автоматизация деятельности финансового органа, главных распорядителей бюджетных средств по расходам, распорядителей бюджетных средств по расходам, главных администраторов доходов бюджета, администраторов доходов бюджета, главных администраторов источников финансирования дефицита бюджета, администраторов источников финансирования дефицита бюджета.

2.4. Получение персональных данных может осуществляться как путем их представления министерству самим субъектом персональных данных, так и путем получения персональных данных министерством из иных источников, в том случае, если персональные данные представляется возможным получить только у третьей стороны. Если персональные данные получены не от субъекта персональных данных и такое получение не предусмотрено частью 4 статьи 18 Федерального закона N 152-ФЗ, то до начала обработки таких персональных данных министерство обязано предоставить субъекту персональных данных информацию, предусмотренную частью 3 статьи 18 Федерального закона N 152-ФЗ.

2.5. Министерство не имеет права получать и обрабатывать персональные данные субъекта, не связанные с целями обработки персональных данных. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни субъекта персональных данных (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны министерством только с письменного согласия субъекта персональных данных.

2.6. Для осуществления процесса обработки персональных данных на автоматизированных рабочих местах используется сертифицированное программное обеспечение.

2.7. Пользователи информационных систем персональных данных осуществляют обработку в многопользовательском режиме. Доступ в информационные системы персональных данных осуществляется пользователями с использованием персональных идентификаторов и паролей. Права доступа пользователей к программам, каталогам и файлам на автоматизированных рабочих местах регламентированы настройками локальных политик безопасности Windows.

Передача информации, содержащей персональные данные, за пределы контролируемой зоны по сети Интернет не осуществляется.

2.8. Срок обработки персональных данных исчисляется с момента получения министерством персональных данных до достижения целей обработки персональных данных.

2.9. Пользователи имеют право постоянного хранения файлов с защищаемыми данными на жестком магнитном диске, входящих в состав технических средств. Для хранения файлов, содержащих персональные данные, съемные носители информации (оптические диски, флеш-носители и т.д.) не используются. Учет съемных носителей не ведется.

2.10. После достижения цели обработки персональных данных, если это предусмотрено федеральными законами, нормативными актами или в письменном согласии субъекта персональных данных, персональные данные помещаются в архив и хранятся в течение срока, установленного законодательством Российской Федерации. На хранение персональных данных в электронном архиве должно быть получено согласие субъекта.

2.11. Если в течение срока архивного хранения субъект персональных данных направил в адрес министерства заявление об отзыве согласия на обработку персональных данных, министерство обязано уничтожить персональные данные субъекта с составлением соответствующего акта или обеспечить их уничтожение, если сохранение персональных данных более не требуется для целей обработки персональных данных.

2.12. Передача персональных данных субъекта любым физическим или юридическим лицам может быть осуществлена только с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

2.13. Уничтожение персональных данных осуществляется по истечении соответствующего срока хранения. Для уничтожения персональных данных приказом министерства создается комиссия, которая проводит уничтожение персональных данных.

2.14. Носители, содержащие персональные данные, уничтожаются таким способом, чтобы после процедуры уничтожения не представилось возможным восстановить данные. По результатам уничтожения составляется акт об уничтожении персональных данных, который подписывается комиссией, созданной для уничтожения персональных данных.

3. Права субъекта персональных данных

3.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных министерством;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые министерством способы обработки персональных данных;

4) наименование и место нахождения министерства, сведения о лицах (за исключением работников министерства), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с министерством или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом N 152-ФЗ;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению министерства, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами.

3.2. Субъект персональных данных вправе требовать от министерства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.3. Если субъект персональных данных считает, что министерство осуществляет обработку его персональных данных с нарушением требований Федерального закона N 152-ФЗ или иным образом нарушает его права

и свободы, субъект персональных данных вправе обжаловать действия или бездействие министерства в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

3.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4. Обязанности оператора

4.1. При сборе персональных данных министерство обязано предоставить субъекту персональных данных по его просьбе информацию, предусмотренную пунктом 3.1 Правил.

4.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, министерство обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

4.3. Если персональные данные получены не от субъекта персональных данных, министерство, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона N 152-ФЗ, до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес министерства или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные Федеральным законом N 152-ФЗ права субъекта персональных данных;

5) источник получения персональных данных.

4.4. Министерство освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 4.3 Правил, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных министерством;

2) персональные данные получены министерством на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступным субъектом персональных данных или получены из общедоступного источника;

4) министерство осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных пунктом 5.3 настоящих Правил, нарушает права и законные интересы третьих лиц.

4.5. Министерство обязано принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Министерство самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:

1) назначение ответственного за организацию обработки персональных данных;

2) издание документов, определяющих политику министерства в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона N 152-ФЗ;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике министерства в отношении обработки персональных данных, локальным актам министерства;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона N 152-ФЗ, соотношение указанного вреда и принимаемых министерством мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ;

Информация об изменениях:

Приказом министерства финансов Красноярского края от 19 апреля 2017 г. N 50 в подпункт 6 пункта 4.5 раздела 4 настоящего Приложения внесены изменения

См. текст подпункта в предыдущей редакции

6) ознакомление сотрудников министерства, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику министерства в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.

5. Мероприятия по обеспечению безопасности персональных данных

5.1. Мероприятия по обеспечению безопасности персональных данных являются составной частью деятельности министерства.

5.2. Сбой в функционировании элементов информационной системы персональных данных, предоставляемых пользователям информационной системы персональных данных, а также потеря защищаемой информации, связанные с нарушением правил обработки персональных данных, может произойти в результате следующих действий (бездействия):

непреднамеренных либо преднамеренных действий сотрудников министерства и третьих лиц;

в результате возникновения обстоятельств непреодолимой силы.

5.3. По каждому происшествию проводится проверка, для проведения которой назначается комиссия. Порядок проведения проверки устанавливается Правилами осуществления в министерстве внутреннего контроля соответствия обработки персональных данных требованиям законодательства в сфере защиты персональных данных согласно приложению N 3 к настоящему приказу. В ходе проверки устанавливаются обстоятельства, виновные лица в нарушении мероприятий по защите информации, причины и условия, способствовавшие нарушению.

По результатам проведенной проверки определяются обстоятельства, способствующие совершению выявленных нарушений, а также необходимые мероприятия по их устранению.

5.4. Процедуры, направленные на выявление нарушений:

осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике министерства в отношении обработки персональных данных, правовым актам министерства;

иные процедуры, направленные на выявление нарушений.

Информация об изменениях:

Приказом министерства финансов Красноярского края от 19 апреля 2017 г. N 50 в пункт 5.5 раздела 5 настоящего Приложения внесены изменения

См. текст пункта в предыдущей редакции

5.5. Процедуры, направленные на предотвращение нарушений:

назначение ответственного за организацию обработки персональных данных;

ознакомление сотрудников министерства, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных и иными документами по вопросам обработки персональных данных;

определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных министерства;

применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных министерства, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

разграничение прав доступа к персональным данным при их обработке в информационных системах персональных данных министерства.

5.6. Персональные данные не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает сотрудника министерства от взятых им обязательств по неразглашению сведений ограниченного распространения.

5.7. При обработке в министерстве персональных данных на бумажных носителях, в частности, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15.09.2008 N 687.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

5.8. Допускается передача материальных носителей персональных данных на хранение сторонней организации на основании договора, при этом существенным условием договора является обязанность обеспечения указанной организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке (хранении).

5.9. Лица, виновные в нарушении требований настоящих Правил, несут ответственность в соответствии с действующим законодательством Российской Федерации.