Приложение N 1. Правила обработки персональных данных в агентстве печати и массовых коммуникаций Красноярского края. Приказ агентства печати и массовых коммуникаций Красноярского края от 26.08.2015 N 12-Н "Об обработке и защите персональных данных в агентстве печати и массовых коммуникаций Красноярского края" (с изменениями и дополнениями)

Приложение N 1

к Приказу агентства печати и массовых

коммуникаций Красноярского края

от 26 августа 2015 г. N 12-Н

Правила
обработки персональных данных в агентстве печати
и массовых коммуникаций Красноярского края

1. Общие положения

1.1. Настоящие Правила обработки персональных данных (далее - Правила) определяют цели, условия и порядок обработки персональных данных, устанавливают общие требования к обеспечению безопасности персональных данных, обрабатываемых в агентстве печати и массовых коммуникаций Красноярского края (далее - агентство) с использованием средств автоматизации или без использования таких средств.

1.2. Правила разработаны в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Федеральный закон N 149-ФЗ), Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения о особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных", иными нормативными правовыми актами.

1.3. В Правилах используются следующие основные понятия:

персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;

обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;

распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;

предоставление ПДн - действия, направленные на раскрытие ПДн определенному кругу лиц;

блокирование ПДн - временное прекращение обработки ПДн (за исключением, если обработка необходима для уточнения персональных данных);

обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;

уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн;

информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача ПДн - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Принципы и условия обработки персональных данных

2.1. Обработка персональных данных должна осуществляться на основе принципов:

законности целей и способов обработки персональных данных и добросовестности;

соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям агентства;

соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2.2. Агентство может осуществлять обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.

2.3. При обработке персональных данных агентством могут осуществляться любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. До начала обработки персональных данных агентство обязано уведомить уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных согласно статье 22 Федерального закона N 152-ФЗ.

3. Обработка персональных данных

3.1. Обработка в агентстве персональных данных осуществляется в ИСПДн "Бухгалтерия и кадры";

Агентство является Оператором ИСПДн.

3.2. Целью обработки персональных данных в ИСПДн является:

оформление приема, организация учета, перевода и увольнения государственных гражданских служащих агентства, а также работников агентства по должностям, не отнесенным к должностям государственной гражданской службы, в соответствии с законодательством Российской Федерации, ведение всей отчетности по кадровым вопросам, расчет заработной платы (далее - реализация служебных или трудовых отношений);

оформление приема, организация учета, перевода и увольнения руководителей краевых государственных учреждений, в отношении которых агентство осуществляет функции и полномочия учредителя, в соответствии с законодательством Российской Федерации, ведение всей отчетности по кадровым вопросам (далее - осуществление государственных функций).

3.3. Порядок обработки персональных данных:

3.3.1. Получение ПДн может осуществляться как путем их представления оператору самим субъектом ПДн, так и путем получения персональных данных оператором из иных источников, в том случае, если ПДн представляется возможным получить только у третьей стороны. Если персональные данные получены не от субъекта персональных данных и такое получение не предусмотрено частью 4 статьи 18 Федерального закона N 152-ФЗ, то до начала обработки таких персональных данных оператор обязан представить субъекту персональных данных информацию, предусмотренную частью 3 статьи 18 Федерального закона N 152-ФЗ.

3.3.2. Оператор не имеет права получать и обрабатывать ПДн субъекта, не связанные с целями обработки ПДн. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни субъекта ПДн (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны оператором только с письменного согласия субъекта ПДн.

3.3.3. Для осуществления процесса обработки ПДн на автоматизированных рабочих местах (АРМ) используется сертифицированное программное обеспечение (ПО).

3.3.4. Пользователи ИСПДн осуществляют обработку в многопользовательском режиме, имеют различные права доступа к информации. Существует одноточечное соединение с сетью Интернет.

Пользователи имеют право постоянного хранения файлов с защищаемыми данными на жестком магнитном диске, входящих в состав технических средств. Специально выделенный каталог для хранения персональных данных отсутствует. Для хранения файлов, содержащих ПДн, съемные носители информации (оптические диски, флеш-носители и т.д.) не используются. Учет съемных носителей не ведется.

3.3.5. Доступ в ИСПДн осуществляется пользователями с использованием персональных идентификаторов и паролей.

Передача информации, содержащей ПДн, за пределы контролируемой зоны по сети Интернет не осуществляется. Права доступа пользователей к программам, каталогам и файлам на АРМ регламентированы настройками локальных политик безопасности Windows.

3.3.6. Срок обработки персональных данных исчисляется с момента подписания соглашения об обработке персональных данных субъектом ПДн с оператором до достижения целей обработки персональных данных.

3.4. Хранение персональных данных:

После достижения цели обработки персональных данных, если это предусмотрено федеральными законами, нормативными актами или в письменном согласии субъекта персональных данных, персональные данные помещаются в архив и хранятся в течение срока, установленного законодательством Российской Федерации. На хранение персональных данных в электронном архиве должно быть получено согласие субъекта.

Если в течение срока архивного хранения субъект персональных данных направил в адрес оператора заявление об отзыве согласия на обработку персональных данных, оператор обязан уничтожить персональные данные субъекта с составлением соответствующего акта или обеспечить их уничтожение, если сохранение персональных данных более не требуется для целей обработки персональных данных.

3.5. Передача персональных данных:

Передача ПДн субъекта любым физическим или юридическим лицам может быть осуществлена только с письменного согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

3.6. Уничтожение персональных данных:

3.6.1. Уничтожение ПДн осуществляется по истечении соответствующего срока хранения. Для уничтожения персональных данных приказом руководителя создается комиссия, которая проводит уничтожение ПДн и составляет соответствующие акты.

3.6.2. Носители, содержащие ПДн, уничтожаются путем сдачи предприятию по утилизации вторичного сырья (на основании договора) или таким способом, что после процедуры уничтожения не представится возможным восстановить данные. По результатам уничтожения составляется акт об уничтожении ПДн, который подписывается комиссией, созданной для уничтожения ПДн. В течение пяти рабочих дней после уничтожения и составления акта об уничтожении ПДн оператор уведомляет об этом субъекта ПДн, в случае уничтожения ПДн по основаниям, предусмотренным пунктом 5.6 Правил.

3.7. Содержание обрабатываемых персональных данных представлено в Перечне персональных данных, обрабатываемых в агентстве, в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций, согласно приложению N 6 настоящего Приказа.

3.8. Категории субъектов, персональные данные которых обрабатываются:

государственные гражданские служащие агентства и работники агентства по должностям, не отнесенным к должностям государственной гражданской службы (в том числе физические лица, представившие сведения в агентство для участия в конкурсе на замещение вакантных должностей государственной гражданской службы либо для формирования кадрового резерва);

иные субъекты, не являющиеся сотрудниками агентства.

4. Права субъекта персональных данных

4.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

подтверждение факта обработки персональных данных оператором;

правовые основания и цели обработки персональных данных;

цели и применяемые оператором способы обработки персональных данных;

наименование и место нахождения оператора, сведения о лицах (за исключением государственных гражданских служащих оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом N 152-ФЗ;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами.

5. Обязанности оператора

5.1. При сборе персональных данных оператор обязан представить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона N 152-ФЗ, в сроки, установленные частью 1 статьи 20 Федерального закона N 152-ФЗ.

5.2. Если предоставление персональных данных является обязательным в соответствии с Федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

5.3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона N 152-ФЗ, до начала обработки таких персональных данных обязан представить субъекту персональных данных следующую информацию:

наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

цель обработки персональных данных и ее правовое основание;

предполагаемые пользователи персональных данных;

установленные Федеральным законом N 152-ФЗ права субъекта персональных данных;

источник получения персональных данных.

5.4. Оператор освобождается от обязанности представить субъекту персональных данных сведения, предусмотренные пунктом 5.3 Правил и частью 3 статьи 18 Федерального закона N 152-ФЗ, в случаях, если:

субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;

предоставление субъекту персональных данных сведений, предусмотренных пунктом 5.3 Правил и частью 3 статьи 18 Федерального закона N 152-ФЗ, нарушает права и законные интересы третьих лиц.

5.5. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:

назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением сотрудниками агентства требований к защите персональных данных;

утверждение оператором нормативных актов, определяющих политику оператора в отношении обработки ПДн, а также актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

применение правовых, организационных и технических мер по обеспечению безопасности ПДн;

осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам оператора;

оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона N 152-ФЗ, соотношение указанного вреда и принимаемых агентством мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ;

ознакомление государственных гражданских служащих агентства, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, нормативными актами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки ПДн и (или) обучение указанных сотрудников.

5.6. В случае выявления неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае если обеспечить правомерность обработки ПДн невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

5.7. В случае достижения цели обработки ПДн оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн, либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации.

6. Мероприятия по обеспечению безопасности
персональных данных

6.1. Мероприятия по обеспечению безопасности персональных данных являются составной частью деятельности агентства.

6.2. Перечень должностей государственной гражданской службы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, а также порядок доступа должностных лиц агентства в помещения, в которых ведется обработка персональных данных, определяется в приложениях N 9, N 13 к настоящему Приказу.

6.3. Сбой в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн, а также потерей защищаемой информации, связанные с нарушением правил обработки ПДн, может произойти в результате следующих действий (бездействия):

непреднамеренных либо преднамеренных действий сотрудников агентства и третьих лиц;

в результате возникновения обстоятельств непреодолимой силы.

6.4. По каждому происшествию проводится проверка, для проведения которой назначается комиссия. Порядок проведения проверки устанавливается правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в агентстве. В ходе проверки устанавливаются обстоятельства, виновные лица в совершении нарушений мероприятий по защите информации, причины и условия, способствовавшие нарушению.

По результатам проведенной проверки определяются необходимые мероприятия по устранению выявленных нарушений, а также обстоятельств, способствующих их совершению.

6.5. Процедуры, направленные на выявление нарушений:

осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам агентства;

иные процедуры, направленные на выявление нарушений.

6.6. Процедуры, направленные на предотвращение нарушений:

назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением сотрудниками агентства требований к защите персональных данных;

ознакомление сотрудников агентства, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных и иными документами по вопросам обработки персональных данных;

определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных агентства;

применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных агентства, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

разграничение прав доступа к персональным данным при их обработке в информационных системах персональных данных агентства.

6.7. Персональные данные не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает сотрудника агентства от взятых им обязательств по неразглашению сведений ограниченного распространения.

6.8. При обработке в Агентстве персональных данных на бумажных носителях, в частности, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 N 687.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

6.9. Допускается передача материальных носителей персональных данных на хранение сторонней организации на основании договора, при этом существенным условием договора является обязанность обеспечения указанной организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке (хранении).

6.10. Лица, виновные в нарушении требований Правил, несут дисциплинарную и иную ответственность в соответствии с действующим законодательством.