Приложение N 1. Правила обработки персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края. Приказ службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 21.03.2014 N 4НП "Об обработке и защите персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края"

Приложение N 1

к Приказу службы финансово-экономического контроля

и контроля в сфере закупок Красноярского края

от 21 марта 2014 г. N 4НП

Правила
обработки персональных данных в службе финансово-экономического
контроля и контроля в сфере закупок Красноярского края

С изменениями и дополнениями от:

27 июня 2014 г.

1. Общие положения

1.1. Настоящие Правила обработки персональных данных (далее - Правила) определяют цели, условия и порядок обработки персональных данных, устанавливают общие требования к обеспечению безопасности персональных данных, обрабатываемых в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Служба) с использованием средств автоматизации или без использования таких средств.

1.2. Правила разработаны в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Положением о службе финансово-экономического контроля и контроля в сфере закупок Красноярского края, утвержденного постановлением Правительства Красноярского края от 13.12.2013 N 657-п, иными нормативными правовыми актами.

1.3. В Правилах используется следующие основные понятия:

1) персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;

3) обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

4) автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;

5) распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;

6) предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

7) блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);

8) уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;

9) обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту персональных данных;

10) информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача ПДн - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Принципы и условия обработки персональных данных

2.1. Обработка персональных данных должна осуществляться на основе принципов:

1) Обработка персональных данных должна осуществляться на законной и справедливой основе.

2) Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4) Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Служба должна принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2. Служба может осуществлять обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.

2.3. При обработке персональных данных Службой могут осуществляться любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. До начала обработки персональных данных Служба обязана уведомить уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных согласно статье 22 Федерального закона N 152-ФЗ.

3. Обработка персональных данных

3.1. Обработка в Службе ПДн осуществляется в следующих ИСПДн:

"Бухгалтерия и кадры" Службы;

"Работа с гражданами" Службы;

Служба является оператором.

3.2. Целями обработки ПДн в ИСПДн является:

в ИСПДн "Бухгалтерия и кадры" - оформление приема, организация учета, перевода и увольнения государственных гражданских служащих Службы и иных работников в соответствии с законодательством Российской Федерации, ведение всей отчетности по кадровым вопросам, расчет заработной платы, оформление свидетельства пенсионного страхования и зарплатных карт (далее - реализация служебных или трудовых отношений);

в ИСПДн "Работа с гражданами" - осуществление внутреннего государственного финансового контроля в сфере бюджетных правоотношений, контроля в сфере закупок товаров, работ, услуг в отношении закупок для обеспечения нужд края и муниципальных нужд муниципальных образований, находящихся на территории Красноярского края, регионального государственного надзора в сфере ценообразования (за исключением полномочий, отнесенных к компетенции иных органов исполнительной власти края) (далее - исполенние# государственных функций).

3.3. Порядок обработки ПДн:

3.3.1. Получение ПДн может осуществляться как путем их представления Службе самим субъектом ПДн, так и путем получения персональных данных Службой из иных источников, в том случае, если ПДн представляется возможным получить только у третьей стороны. Если персональные данные получены не от субъекта персональных данных и такое получение не предусмотрено частью 4 статьи 18 Федерального закона N 152-ФЗ, то до начала обработки таких персональных данных Служба обязана предоставить субъекту персональных данных информацию предусмотренную частью 3 статьи 18 Федерального закона N 152-ФЗ.

3.3.2. Служба не имеет права получать и обрабатывать ПДн субъекта не связанные с целями обработки ПДн. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни субъекта ПДн (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны Службой только с письменного согласия субъекта ПДн.

3.3.3. Для осуществления процесса обработки ПДн на автоматизированных рабочих местах (АРМ) используется сертифицированное программное обеспечение (ПО).

3.3.4. Пользователи ИСПДн осуществляют обработку в многопользовательском режиме, имеют различные права доступа к информации.

Пользователи имеют право постоянного хранения файлов с защищаемыми данными на жестком магнитном диске, входящих в состав технических средств. Специально выделенный каталог для хранения персональных данных отсутствует. Для хранения файлов, содержащих ПДн, съемные носители информации (оптические диски, флеш-носители и т.д.) не используются. Учет съемных носителей не ведется.

3.3.5. Доступ в ИСПДн осуществляется пользователями с использованием персональных идентификаторов и паролей.

Передача информации, содержащей ПДн, за пределы контролируемой зоны по сети Интернет не осуществляется. Права доступа пользователей к программам, каталогам и файлам на АРМ регламентированы настройками локальных политик безопасности Windows.

3.3.6. Срок обработки персональных данных исчисляется с момента получения Службой персональных данных до достижения целей обработки персональных данных.

3.4. Хранение ПДн:

После достижения цели обработки персональных данных, если это предусмотрено федеральными законами, нормативными актами или в письменном согласии субъекта персональных данных, персональные данные помещаются в архив и хранятся в течение срока, установленного законодательством Российской Федерации. На хранение персональных данных в электронном архиве должно быть получено согласие субъекта.

Если в течение срока архивного хранения, субъект персональных данных направил в адрес Службы заявление об отзыве согласия на обработку персональных данных, Служба обязана уничтожить персональные данные субъекта с составлением соответствующего акта или обеспечить их уничтожение, если сохранение персональных данных более не требуется для целей обработки персональных данных.

3.5. Передача ПДн

Передача ПДн субъекта любым физическим или юридическим лицам может быть осуществлена только с письменного согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

3.6. Уничтожение ПДн

3.6.1. Уничтожение ПДн осуществляется по истечении соответствующего срока хранения. Для уничтожения персональных данных приказом руководителя Службы создается комиссия, которая проводит уничтожение ПДн.

3.6.2. Носители, содержащие ПДн, уничтожаются таким способом, чтобы после процедуры уничтожения не представилось возможным восстановить данные. По результатам уничтожения составляется акт об уничтожении ПДн, который подписывается комиссией, созданной для уничтожения ПДн. В течение пяти рабочих дней после уничтожения и составления акта об уничтожении ПДн Служба уведомляет об этом субъекта ПДн, в случае уничтожения ПДн по основаниям, предусмотренным пунктом 5.6 Правил.

3.7. Содержание обрабатываемых персональных данных:

3.7.1. Персональные данные, обрабатываемые в Службы в связи с реализацией служебных и трудовых отношений:

фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);

число, месяц, год рождения;

место рождения;

информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);

вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

адрес места жительства (адрес регистрации, фактического проживания);

номер контактного телефона или сведения о других способах связи;

реквизиты страхового свидетельства государственного пенсионного страхования;

идентификационный номер налогоплательщика;

реквизиты страхового медицинского полиса обязательного медицинского страхования;

реквизиты свидетельства государственной регистрации актов гражданского состояния;

семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);

сведения о трудовой деятельности;

сведения о воинском учете и реквизиты документов воинского учета;

сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

сведения о своих доходах, имуществе и обязательствах имущественного характера, а также указанные сведения в отношении своих супруги (супруга) и несовершеннолетних детей;

сведения о своих расходах, а также о расходах своих супруги (супруга) и несовершеннолетних детей по каждой сделке по приобретению земельного участка, другого объекта недвижимости, транспортного средства, ценных бумаг, акций (долей участия, паев в уставных (складочных) капиталах организаций);

результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований);

сведения об ученой степени;

информация о владении иностранными языками, степень владения;

фотография;

информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;

сведения о пребывании за границей;

информация о классном чине государственной гражданской службы Красноярского края (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);

информация об оформленных допусках к государственной тайне;

государственные награды, иные награды и знаки отличия;

сведения о профессиональной переподготовке и (или) повышении квалификации;

информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

номер расчетного счета;

номер банковской карты;

сведения о привлечении к уголовной ответственности;

серия, номер водительского удостоверения, наименование органа, выдавшего его, дата выдачи и иные сведения.

3.7.2. Персональные данные, обрабатываемые в Службе в связи с исполнением государственных функций:

фамилия, имя, отчество;

вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

адрес места жительства (адрес регистрации, фактического проживания);

число, месяц, год рождения;

сведения о месте работы;

сведения о заработной плате;

сведения о лицах находящихся на иждивении;

сведения о привлечении к административной ответственности;

идентификационный номер налогоплательщика;

основной государственный регистрационный номер индивидуального предпринимателя.

3.8. Категории субъектов, персональные данные которых обрабатываются:

государственные гражданские служащие и иные работники Службы;

иные субъекты, не являющиеся сотрудниками Службы.

4. Права субъекта персональных данных

4.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

подтверждение факта обработки персональных данных Службой;

правовые основания и цели обработки персональных данных;

цели и применяемые Службой способы обработки персональных данных;

наименование и место нахождения Службы, сведения о лицах (за исключением гражданских государственных служащих Службы), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора со Службой или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом N 152-ФЗ;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Службы, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами.

5. Обязанности оператора

5.1. При сборе персональных данных Служба обязана предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона N 152-ФЗ в сроки, установленные частью 1 статьи 20 Федерального закона N 152-ФЗ.

5.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Служба обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

5.3. Если персональные данные получены не от субъекта персональных данных, Служба, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона N 152-ФЗ, до начала обработки таких персональных данных обязана предоставить субъекту персональных данных следующую информацию:

наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

цель обработки персональных данных и ее правовое основание;

предполагаемые пользователи персональных данных;

установленные Федеральным законом N 152-ФЗ права субъекта персональных данных;

источник получения персональных данных.

5.4. Служба освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 5.3 настоящих Правил, в случаях, если:

субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

персональные данные получены Службой на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

Служба осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;

предоставление субъекту персональных данных сведений, предусмотренных 5.3 настоящих Правил, нарушает права и законные интересы третьих лиц.

ГАРАНТ:

По-видимому, в предыдущем абзаце допущена опечатка. Вместо "5.3" имеется в виду "пунктом 5.3"

5.5. Служба самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:

1) назначение ответственного за организацию обработки персональных данных;

2) издание документов, определяющих политику Службы в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона N 152-ФЗ;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Службы в отношении обработки персональных данных, локальным актам Службы;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона N 152-ФЗ, соотношение указанного вреда и принимаемых Службой мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ;

6) ознакомление сотрудников Службы, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Службы в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.

Информация об изменениях:

Приказом службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 27 июня 2014 г. N 8НП в пункт 5.6 раздела 5 настоящего Приложения внесены изменения

См. текст пункта в предыдущей редакции

5.6. В случае выявления неправомерной обработки ПДн, осуществляемой Службой или лицом, действующим по поручению Службы, Служба в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Службы. В случае если обеспечить правомерность обработки ПДн невозможно, Служба в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие ПДн или обеспечить их уничтожение.. Об устранении допущенных нарушений или об уничтожении персональных данных Служба обязана уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

5.7. В случае достижения цели обработки ПДн Служба обязана прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Службы) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Службы) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Службой и субъектом ПДн, либо если Служба не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации.

6. Мероприятия по обеспечению безопасности персональных данных

6.1. Мероприятия по обеспечению безопасности персональных данных являются составной частью деятельности Службы.

6.2. Перечень должностей государственной гражданской службы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, а также порядок доступа должностных лиц Службы края в помещения, в которых ведется обработка персональных данных определяется принимаемыми документами Службы.

6.3. Сбой в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн, а так же потерей защищаемой информации, связанные с нарушением правил обработки ПДн, может произойти в результате следующих действий (бездействий):

непреднамеренных либо преднамеренных действий сотрудников Службы и третьих лиц;

в результате возникновения обстоятельств непреодолимой силы.

6.4. По каждому происшествию проводится проверка, для проведения которой назначается комиссия. Порядок проведения проверки устанавливается Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Службе. В ходе проверки устанавливается обстоятельства, виновные лица в совершении нарушений мероприятий по защите информации, причины и условия, способствовавшие нарушению.

По результатам проведенной проверки определяются необходимые мероприятия по устранению выявленных нарушений, а также обстоятельств способствующих их совершению.

6.5. Процедуры направленные на выявление нарушений:

осуществление внутреннего контроля соответствия обработки ПДн законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Службы в отношении обработки ПДн, локальным актам Службы;

иные процедуры направленные на выявление нарушений.

6.6. Процедуры, направленные на предотвращение нарушений:

назначение лица, ответственного за организацию обработки персональных данных, который осуществляет, в том числе обучение и инструктаж, внутренний контроль за соблюдением сотрудниками Службы требований к защите персональных данных;

ознакомление сотрудников Службы, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных и иными документами по вопросам обработки персональных данных;

определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Службы;

применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Службы, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

разграничение прав доступа к персональным данным при их обработке в информационных системах персональных данных Службы.

6.7. Персональные данные не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает сотрудника Службы от взятых им обязательств по неразглашению сведений ограниченного распространения.

6.8. При обработке в Службе персональных данных на бумажных носителях, в частности, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 N 687.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

6.9. Допускается передача материальных носителей персональных данных на хранение сторонней организации на основании договора, при этом существенным условием договора является обязанность обеспечения указанной организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке (хранении).

6.10. Лица, виновные в нарушении требований настоящих Правил несут ответственность в соответствии с действующим законодательством.