В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", руководствуясь статьей 21 Устава Иркутской области, приказываю:
1. Утвердить Правила обработки персональных данных в министерстве культуры и архивов Иркутской области (прилагаются).
2. Утвердить Правила рассмотрения запросов субъектов персональных данных и их представителей в министерстве культуры и архивов Иркутской области (прилагаются).
3. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве культуры и архивов Иркутской области (прилагаются).
4. Утвердить Правила работы с обезличенными персональными данными в министерстве культуры и архивов Иркутской области (прилагаются).
5. Утвердить Порядок доступа в помещения министерства культуры и архивов Иркутской области, в которых ведется обработка персональных данных (прилагается).
6. Настоящий приказ подлежит официальному опубликованию и размещению на официальном сайте министерства культуры и архивов Иркутской области в информационно-телекоммуникационной сети "Интернет".
Министр культуры и архивов Иркутской области |
О.К.Стасюлевич |
Утверждены
Приказом Министерства
культуры и архивов
Иркутской области
от 5 мая 2017 г. N 26-мпр
Правила обработки персональных данных
в министерстве культуры и архивов Иркутской области
Глава 1. Общие положения
1. Настоящими Правилами обработки персональных данных в министерстве культуры и архивов Иркутской области (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; содержание обрабатываемых персональных данных для каждой цели обработки персональных данных; категории субъектов, персональные данные которых обрабатываются; сроки обработки и хранения; порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).
4. Принципы обработки персональных данных:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей (не допускается обработка персональных данных, несовместимая с целями сбора персональных данных);
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных (принимаются необходимые меры по удалению или уточнению неполных или неточных данных);
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных (обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию).
Глава 2. Содержание обрабатываемых персональных данных
5. К перечням персональных данных, обрабатываемых министерством культуры и архивов Иркутской области (далее - Министерство), относятся:
фамилия, имя, отчество физического лица, в том числе являющегося представителем интересов третьих лиц;
дату и место рождения;
адрес регистрации и места жительства (пребывания);
сведения, характеризующие семейное, социальное, имущественное положение;
сведения об образовании, профессии (специальности), квалификации;
сведения о доходах, имуществе и имущественных обязательствах;
сведения о документе, удостоверяющем личность;
сведения об ИНН;
сведения о номере СНИЛС;
сведения о платежных (банковских) реквизитах;
номер телефона, адрес электронной почты, персональных интернет-страницах;
иные сведения, на основании которых возможны безошибочная идентификация субъекта персональных данных.
Перечень персональных данных, обрабатываемых Министерством в связи с реализацией трудовых отношений утвержден распоряжением Министерства от 30 июля 2012 года N 185-мр-о "Об утверждении перечня персональных данных, обрабатываемых в связи с реализацией трудовых отношений".
6. Информация о персональных данных может содержаться:
1) на бумажных носителях;
2) на электронных носителях;
3) на официальном сайте Министерства в информационно-телекоммуникационной сети "Интернет".
7. Министерством используются следующие способы обработки персональных данных:
1) без использования средств автоматизации;
2) смешанная обработка (с применением объектов вычислительной техники). Перечень информационных систем персональных данных Министерства утвержден распоряжением Министерства от 5 июля 2012 года N 159-мр-о "Об утверждении перечня".
Глава 3. Цель обработки персональных данных, категории субъектов персональных данных
8. Цели обработки персональных данных в Министерстве: осуществление полномочий Министерства, в том числе по исполнению государственных функций, предоставлению государственных услуг, предоставлению мер государственной поддержки культуры Иркутской области в соответствии с законодательством Российской Федерации и Иркутской области, Положением о министерстве культуры и архивов Иркутской области, утвержденным постановлением Правительства Иркутской области от 29 декабря 2009 года N 388/167-пп;
подготовка ходатайств, отзывов, справок, характеристик, писем, иных документов на основании запросов, обращений, жалоб физических лиц;
ведение кадровой работы;
заключение и исполнение Министерством договоров (государственных контрактов) с субъектами персональных данных;
создание и обеспечение деятельности совещательных органов при Министерстве.
9. Категории субъектов, персональные данные которых подлежат обработке Министерством, определяются конкретной целью обработки персональных данных.
К категории субъектов персональных данных могут относиться:
служащие, замещающие должности государственной гражданской службы Иркутской области (далее - областные гражданские служащие) и их близкие родственники, а также лица, претендующие на замещение должностей государственной гражданской службы и состоящие в кадровом резерве Министерства, лица, ранее состоящие на государственной гражданской службе, члены их семей;
работники Министерства, замещающие должности, не являющиеся должностями государственной гражданской службы Иркутской области, иные работники Министерства;
руководители государственных учреждений Иркутской области, функции и полномочия учредителя которых осуществляет Министерство (далее соответственно - руководители учреждений, учреждения), их супруги, несовершеннолетние дети;
главные хранители государственных музеев Иркутской области;
лица, исполняющие обязанности руководителей учреждений, в период временного отсутствия руководителей учреждений;
представители юридических лиц, физические лица и индивидуальные предприниматели, а также их представители, обращающиеся в Министерство, в том числе за предоставлением государственных услуг, выполнением государственных функций, предоставлением мер государственной поддержки культуры в Иркутской области;
физические лица, состоящие в гражданско-правовых отношениях с Министерством.
Глава 4. Порядок сбора и уточнения персональных данных
10. Министр культуры и архивов Иркутской области назначает ответственного за организацию обработки персональных данных в Министерстве и определяет перечень должностей областной гражданской службы в Министерстве, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.
Перечень должностей сотрудников Министерства, замещение которых (работа по которым) предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным утвержден распоряжением Министерства от 5 июля 2012 года N 160-мр-о "Об утверждении перечня" (далее - уполномоченные лица).
11. Уполномоченные лица обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
12. Сбор персональных данных осуществляется следующими способами:
1) получение персональных данных у субъекта персональных данных;
2) запрос персональных данных у органов государственной власти, органов местного самоуправления, организаций, общественных объединений;
3) запрос персональных данных у иных лиц, обрабатывающих соответствующие персональные данные в соответствии с законодательством Российской Федерации о персональных данных;
4) сбор персональных данных из общедоступных источников персональных данных.
Сбор документов, содержащих персональные данные, осуществляется путем их приобщения, в том числе копирования представленных оригиналов документов, внесения сведений (на бумажных и электронных носителях), в соответствующие дела согласно номенклатуре дел Министерства.
13. Уточнение персональных данных производится только на основании полученной в установленном законодательством порядке информации.
14. Субъект персональных данных свои персональные данные предоставляет самостоятельно либо через своего представителя. В случаях, предусмотренных законодательством, персональные данные также могут быть переданы Министерству третьими лицами.
15. Обработка персональных данных осуществляется с согласия субъекта персональных данных на их обработку, составленного в письменном виде по типовой форме, утвержденной приложением N 1 к распоряжению Министерства от 30 июля 2012 года N 181-мр-о "Об утверждении типовых форм согласия и разъяснения". Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно либо его представителем. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
В случае, если согласие на обработку персональных данных дается представителем субъекта персональных данных от лица субъекта персональных данных, Министерство проверяет полномочия представителя.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в порядке, предусмотренном законодательством.
Обработка персональных данных без согласия субъекта персональных данных допускается в случаях, предусмотренных пунктами 2 - 11 части 1 статьи 6 Федерального закона N 152-ФЗ.
16. При получении персональных данных от субъекта персональных данных или его представителя уполномоченное лицо:
1) разъясняет права, цели и порядок обработки персональных данных;
2) предлагает представить согласие на обработку персональных данных по типовой форме;
3) разъясняет субъекту персональных данных юридические последствия отказа предоставить персональные данные, передача которых в соответствии с законодательством является обязательной, под подпись с использованием типовой формы, утвержденной приложением N 2 к распоряжению Министерства от 30 июля 2012 года N 181-мр-о "Об утверждении типовых форм согласия и разъяснения".
17. Уполномоченные лица подписывают обязательство о соблюдении конфиденциальности персональных данных, а в случае расторжения с ними служебных контрактов - о прекращении обработки персональных данных, ставших известными им в связи с исполнением должностных обязанностей. Типовое обязательство сотрудника Министерства, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших ему известными в связи с исполнением должностных обязанностей, утверждено распоряжением Министерства от 30 июля 2012 года N 182-мр-о "Об утверждении типового обязательства".
Глава 5. Порядок использования и хранения персональных данных
18. Общий срок использования персональных данных определяется периодом времени, в течение которого Министерство осуществляет действия (операции) в отношении персональных данных, обусловленные заявленной целью их обработки.
19. Использование персональных данных осуществляется с момента их получения Министерством и прекращается:
1) по достижении целей обработки персональных данных;
2) в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.
20. Использование персональных данных осуществляется при соблюдении принципа раздельности их обработки.
Персональные данные при их обработке обособляются от иной информации, в частности путем фиксации их в отдельных файлах, на отдельных материальных носителях.
Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
21. Персональные данные могут храниться на бумажных (и иных материальных) носителях и (или) в электронном виде централизованно или в соответствующих структурных подразделениях Министерства.
22. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом.
Сроки хранения персональных данных (материальных носителей) устанавливаются в соответствии с номенклатурой дел Министерства.
23. Документация, входящая в состав соответствующих дел субъектов персональных данных, хранится в шкафах, в сейфах в кабинетах Министерства.
Глава 6. Уничтожение персональных данных
24. В случае достижения целей обработки персональных данных (утраты необходимости в их достижении) Министерство обязано прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий тридцать календарных дней с даты достижения целей обработки персональных данных (утраты необходимости в их достижении).
25. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе.
26. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Министерство прекращает обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством.
Глава 7. Обязанности уполномоченных лиц при обработке персональных данных
27. Уполномоченные лица обязаны:
1) знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил;
2) хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;
3) соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;
4) обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.
28. При обработке персональных данных уполномоченным лицам запрещается:
1) использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;
2) передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации;
3) снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные;
4) выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.
Глава 8. Права и обязанности субъекта персональных данных
29. Закрепление прав субъекта персональных данных, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.
30. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Министерством способы обработки персональных данных;
4) наименование и место нахождения Министерства, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Министерством или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
8) наименование или фамилию, имя, отчество и адрес уполномоченного лица;
9) иные сведения, предусмотренные федеральными законами.
31. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона N 152-ФЗ.
32. Субъект персональных данных вправе требовать от Министерства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
33. Информация, указанная в пункте 30 настоящих Правил, должна быть предоставлена субъекту персональных данных в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
34. Если субъект персональных данных считает, что Министерство осуществляет обработку его персональных данных с нарушением требований Федерального закона N 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Министерство в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
35. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
36. Субъект персональных данных обязан:
1) передавать Министерству пакет достоверных, документированных персональных данных, состав которых установлен законодательством;
2) своевременно сообщать Министерству об изменении своих персональных данных.
Глава 9. Ответственность уполномоченных лиц
37. Уполномоченные лица, виновные в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.
38. Текущий контроль за соблюдением требований законодательства при обработке персональных данных осуществляется Министерством путем проведения проверок по соблюдению и исполнению законодательства о персональных данных.
39. Проверки выполнения требований законодательства при обработке персональных данных проводятся в соответствии с правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
40. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Министерстве используются следующие процедуры:
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
ознакомление уполномоченных лиц с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящим Порядком;
осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
Министр культуры и архивов Иркутской области |
О.К.Стасюлевич |
Утверждены
Приказом Министерства
культуры и архивов
Иркутской области
от 5 мая 2017 г. N 26-мпр
Правила рассмотрения запросов
субъектов персональных данных или их представителей
в министерстве культуры и архивов Иркутской области
1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в министерстве культуры и архивов Иркутской области (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее -Федеральный закон N 152-ФЗ), Федеральным законом от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Целью настоящих Правил является упорядочение действий должностных лиц министерства культуры и архивов Иркутской области (далее - Министерство) при обращении либо при получении запросов субъектов персональных данных или их представителей, касающихся обработки персональных данных соответствующего субъекта персональных данных.
3. Сведения, касающиеся обработки персональных данных субъекта персональных данных (далее - сведения), предоставляются Министерством субъекту персональных данных или его представителю при обращении либо при получении письменного запроса субъекта персональных данных или его представителя.
4. Сведения могут быть предоставлены при обращении субъекта персональных данных:
1) лично (письменно или устно);
2) через представителя (письменно или устно);
3) с использованием средств факсимильной связи или электронной связи, в том числе через официальный сайт Министерства в информационно-телекоммуникационной сети "Интернет".
5. Информация о Министерстве, включая информацию о месте ее нахождения, графике работы, контактных телефонах, а также о порядке обработки персональных данных размещается:
1) на стендах, расположенных в помещениях, занимаемых Министерством;
2) на официальном сайте Министерства в информационно-телекоммуникационной сети "Интернет".
6. Личный прием субъектов персональных данных или их представителей ведется в соответствии с требованиями приказа Министерства от 29 апреля 2015 года N 24-мпр-о "Об утверждении Порядка личного приема граждан в министерстве культуры и архивов Иркутской области" областными гражданскими служащими Министерства, должности которых включены в распоряжение Министерства от 5 июля 2012 года N 160-мр-о "Об утверждении перечня" (далее - уполномоченные лица).
7. При приеме субъект персональных данных или его представитель предъявляет документ, удостоверяющий его личность, а также документ, подтверждающий полномочия представителя (в случае обращения представителя).
8. Информация, подтверждающая состоявшийся факт обработки персональных данных Министерством, предоставляется уполномоченному лицу субъектом персональных данных или его представителем.
9. В случае, если при личном приеме субъект персональных данных или его представитель изъявил желание получить ответ в письменной форме, уполномоченное лицо Министерства предлагает оформить письменный запрос (далее - запрос) и сообщает ему о сроках, в течение которых Министерство обязано дать ответ на такой запрос в соответствии с федеральным законом.
10. Запрос оформляется с учетом требований части 3 статьи 14 Федерального закона N 152-ФЗ
Рассмотрение запросов осуществляется уполномоченными лицами в порядке, установленном приказом министерства культуры и архивов Иркутской области от 13 апреля 2016 года N 17-мпр "Об утверждении Порядка рассмотрения обращений граждан в министерстве культуры и архивов Иркутской области" с учетом требований настоящих Правил.
11. При рассмотрении запросов уполномоченными лицами обеспечивается:
объективное, всестороннее и своевременное рассмотрение запроса;
принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
направление письменных ответов по существу запроса.
Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы.
12. Если запрос предоставляется повторно, Министерство отказывает субъекту персональных данных в его выполнении, при несоответствии повторного запроса условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона N 152-ФЗ.
13. Министерство обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность бесплатного ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение десяти календарных дней с даты поступления запроса субъекта персональных данных или его представителя.
14. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных субъекту персональных данных или его представителю уполномоченные лица Министерства обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона N 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его представителя.
15. Министерство вносит необходимые изменения в персональные данные в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.
Министерство уничтожает персональные данные в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
Министерство уведомляет в течение трех рабочих дней субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять меры в течение десяти рабочих дней для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Министр культуры и архивов Иркутской области |
О.К.Стасюлевич |
Утверждены
Приказом Министерства
культуры и архивов
Иркутской области
от 5 мая 2017 г. N 26-мпр
Правила осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных в
министерстве культуры и архивов Иркутской области
1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве культуры и архивов Иркутской области (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Настоящими Правилами в министерстве культуры и архивов Иркутской области (далее - Министерство) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".
4. Внутренний контроль соответствия обработки персональных данных установленным требованиям в Министерстве организовывается в форме плановых и внеплановых проверок.
Плановые проверки условий обработки персональных данных в Министерстве (далее - плановые проверки) проводятся не чаще одного раза в полгода лет на основании распоряжения Министерства, изданного в соответствии с ежегодным планом мероприятий по организации защиты персональных данных в Министерстве.
Внеплановые проверки условий обработки персональных данных в Министерстве (далее - внеплановые проверки) проводятся на основании распоряжения Министерства, изданного по результатам рассмотрения письменного обращения гражданина о нарушениях правил обработки персональных данных в Министерстве, поступившего в Министерство. Распоряжение Министерства о проведении внеплановой проверки принимается министром культуры и архивов Иркутской области (далее - Министр) в течение семи рабочих дней со дня поступления соответствующего заявления.
5. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в Министерстве, либо комиссией, образуемой распоряжением Министерства.
В проведении проверки не может участвовать областной гражданский служащий Министерства, прямо или косвенно заинтересованный в ее результатах.
6. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
7. Должностное лицо, ответственное за организацию обработки персональных данных в Министерстве, либо комиссия имеет право:
запрашивать у работников Министерства информацию, необходимую для реализации полномочий;
требовать от областных гражданских служащих Министерства, уполномоченных на обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить Министру предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить Министру предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации об обработке персональных данных.
8. В отношении персональных данных, ставших известными должностному лицу, ответственному за организацию обработки персональных данных, либо членам комиссии, в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
9. Проверка должна быть завершена не позднее чем через месяц со дня принятия распоряжения Министерства о ее проведении. По результатам проведенной проверки и мерах, должностное лицо, ответственное за организацию обработки персональных данных либо председатель комиссии, направляет Министру письменное заключение.
10. Контроль за своевременностью и правомерностью проведения проверок осуществляется заместителем министра культуры и архивов Иркутской области в соответствии с должностным регламентом.
Министр культуры и архивов Иркутской области |
О.К.Стасюлевич |
Утверждены
Приказом Министерства
культуры и архивов
Иркутской области
от 5 мая 2017 г. N 26-мпр
Правила работы с обезличенными
персональными данными в министерстве
культуры и архивов Иркутской области
1. Настоящие Правила работы с обезличенными персональными данными министерства культуры и архивов Иркутской области (далее - Правила) разработаны с учетом Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и постановления Правительства РФ от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Настоящие Правила определяют порядок работы с обезличенными персональными данными министерства культуры и архивов Иркутской области (далее - Министерство).
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).
4. Обезличивание персональных данных проводится с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Министерства и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Способы обезличивания обрабатываемых Министерством персональных данных (далее - обезличивание персональных данных) при условии дальнейшей обработки персональных данных:
уменьшение перечня обрабатываемых сведений;
замена части сведений идентификаторами;
обобщение - понижение точности некоторых сведений;
понижение точности некоторых сведений (например, "место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
деление сведений на части и обработка в разных информационных системах;
другие способы.
6. Способом обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
7. Для обезличивания персональных данных подходят любые способы, не запрещенные законодательством.
8. Перечень должностей государственных гражданских служащих Министерства, ответственных за проведение мероприятий по обезличиванию персональных данных, утвержден распоряжением Министерства от 3 июля 2012 года N 154-мр-о "Об утверждении правил и перечня".
Обезличивание персональных данных осуществляется на основании резолюции министра культуры и архивов Иркутской области об обезличивании персональных данных, налагаемой на служебные записки руководителей структурных подразделений министерства, содержащие предложения и обоснование необходимости обезличивания персональных данных. В указанных служебных записках также должны содержаться сведения о предполагаемом способе обезличивания персональных данных.
9. Обезличенные персональные данные не подлежат разглашению третьим лицам. В отношении обезличенных персональных данных соблюдается режим конфиденциальности.
10. Обезличенные персональные данные обрабатываются с использованием и без использования средств автоматизации.
11. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение парольной политики, антивирусной политики, правил работы со съемными носителями (если они используются), правил резервного копирования, правил доступа в помещения, где расположены элементы информационных систем.
12. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение правил хранения бумажных носителей, правил доступа к ним и в помещения, где они хранятся.
Министр культуры и архивов Иркутской области |
О.К.Стасюлевич |
Утвержден
Приказом Министерства
культуры и архивов
Иркутской области
от 5 мая 2017 г. N 26-мпр
Порядок
доступа в помещения министерства культуры и архивов
Иркутской области, в которых ведется обработка
персональных данных.
1. Настоящий Порядок доступа сотрудников министерства культуры и архивов Иркутской области (далее - Министерство) в помещения, в которых ведется обработка персональных данных (далее - Порядок), разработан в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Персональные данные относятся к конфиденциальной информации. Сотрудники Министерства, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Безопасность персональных данных обеспечивается их защитой от уничтожения, неправомерных изменения, блокирования, копирования, предоставления, распространения персональных данных, иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается в Министерстве, в том числе, установлением правил доступа в помещения, где обрабатываются персональные данные в информационной системе персональных данных и без использования средств автоматизации.
4. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
5. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только сотрудники Министерства, включенные в перечень должностей министерства культуры и архивов Иркутской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утвержденный распоряжением Министерства от 5 июля 2012 года N 160-мр-о "Об утверждении перечня". (далее - уполномоченные лица).
6. Ответственными за организацию доступа в помещения Министерства, в которых ведется обработка персональных данных, являются руководители структурных подразделений Министерства.
7. Нахождение посторонних лиц, не являющихся уполномоченными лицами, в помещениях Министерства, в которых осуществляется обработка персональных данных, возможно только в сопровождении уполномоченного лица на время, ограниченное необходимостью решения вопросов, связанных с исполнением посторонним лицом должностных обязанностей или предоставлением Министерством государственной услуги, осуществлением иных полномочий Министерства.
8. Уполномоченные лица Министерства в выходные дни осуществляют доступ в помещения, в которых ведется обработка персональных данных, по согласованию с министром культуры и архивов Иркутской области (далее - Министр) или его заместителями.
9. Уведомление о выходе на работу в выходные дни за подписью Министра или его заместителя вручается сотрудникам, осуществляющим охрану занимаемых Министерством помещений.
Министр культуры и архивов Иркутской области |
О.К.Стасюлевич |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приказ Министерства культуры и архивов Иркутской области от 5 мая 2017 г. N 26-мпр "Об утверждении политики министерства культуры Иркутской области в отношении обработки персональных данных"
Текст приказа опубликован в газете "Областная" от 19 мая 2017 г. N 53
В настоящий документ внесены изменения следующими документами:
Приказ Министерства культуры Иркутской области от 29 марта 2023 г. N 56-21-мпр
Изменения вступают в силу с 29 марта 2023 г.
Приказ Министерства культуры Иркутской области от 14 октября 2022 г. N 56-30-мпр
Изменения вступают в силу с 19 октября 2022 г., за исключением
изменений в абзаце третьем подпункта 12 пункта 2 названного приказа, который вступает в силу с 1 марта 2023 г.
Приказ Министерства культуры и архивов Иркутской области от 5 августа 2019 г. N 56-41-мпр
Изменения вступают в силу с 5 августа 2019 г.
Приказ Министерства культуры и архивов Иркутской области от 14 июня 2017 г. N 35-мпр