Приложение 1. Положение об обработке и защите персональных данных в Комитете информационных технологий и телекоммуникаций области. Приказ Комитета информационных технологий и телекоммуникаций Вологодской области от 26.09.2014 N 133-О "Об утверждении Положения об обработке и защите персональных данных"

Утверждено
приказом Комитета
от 26 сентября 2014 г. N 133-О

(приложение 1)

Положение
об обработке и защите персональных данных в Комитете информационных технологий и телекоммуникаций области
(далее - Положение)

С изменениями и дополнениями от:

19 мая 2016 г.

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2006 г. N 152-ФЗ "О персональных данных", от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", от 6 декабря 2011 г. N 402-ФЗ "О бухгалтерском учете", от 20 августа 2004 г. N 113-ФЗ "О присяжных заседателях федеральных судов общей юрисдикции в Российской Федерации", Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Указами Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", от 7 сентября 2010 г. N 1099 "О мерах по совершенствованию государственной наградной системы Российской Федерации", постановлениями Правительства Российской Федерации от 27 ноября 2006 г. N 719 "Об утверждении Положения о воинском учете", от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Губернатора области от 22 мая 2007 г. N 164 "Об утверждении положения о представлении лицом, замещающим государственную должность области (гражданином при решении вопроса о назначении на государственную должность области), должность государственной гражданской службы области (кандидатом на замещение должности государственной гражданской службы области), сведений о доходах, об имуществе и обязательствах имущественного характера, а также сведений о доходах, об имуществе и обязательствах имущественного характера своих супруга (супруги) и несовершеннолетних детей".

1.2. Положение определяет правила обработки персональных данных в Комитете информационных технологий и телекоммуникаций области (далее - Комитет) и меры по обеспечению безопасности персональных данных.

1.3. В настоящем Положении используются понятия, применяемые в значениях, определенных в Федеральном законе от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

1.4. В Комитете обрабатываются персональные данные лиц, претендующих на замещение должностей государственной гражданской службы области в Комитете, а также иных физических лиц, персональные данные которых представлены в Комитет (далее - субъекты персональных данных).

Перечень персональных данных, обрабатываемых в Комитете в связи с реализацией служебных (трудовых) отношений, а также в связи с осуществлением государственных функций и оказанием государственных услуг, изложен в приложении 1 к настоящему Положению.

1.5. Обработка персональных данных в Комитете осуществляется в целях реализации возложенных на Комитет полномочий, определяемых Положением о Комитете.

1.6. Персональные данные субъектов персональных данных являются сведениями конфиденциального характера (за исключением случаев, установленных федеральными законами), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениями, составляющими государственную тайну.

1.7. Комитет является оператором, организующим и осуществляющим обработку персональных данных. Функции оператора возлагаются на государственных гражданских служащих Комитета, на которых возложена обязанность по обработке персональных данных, в соответствии с утвержденным перечнем должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.

Перечень должностей в Комитете, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, изложен в приложении 2 к настоящему Положению.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

1.9. Оператор (должностные лица, осуществляющие обработку персональных данных) при обработке персональных данных обладает полномочиями и исполняет обязанности, установленные Федеральным законом "О персональных данных", Трудовым кодексом Российской Федерации, настоящим Положением и иными федеральными и областными нормативными правовыми актами.

1.10. Лица, непосредственно осуществляющие обработку персональных данных, в обязательном порядке под роспись знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Положением, локальными актами оператора по вопросам обработки персональных данных и документами, устанавливающими обязанности данных лиц по соблюдению требования конфиденциальности и безопасности персональных данных.

1.11. В случае попытки кого-либо получить от лиц, осуществляющих обработку персональных данных, сведения, являющиеся персональными данными, а также о причинах и условиях возможной утечки этих данных указанные лица обязаны сообщать непосредственному руководителю, как только им стало известно.

II. Порядок обработки персональных данных субъектов персональных данных

2.1. Определение объема, содержания и способа обработки персональных данных осуществляется в соответствии с заявленными целями и правовым основанием, определяющим их получение.

2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иное не предусмотрено сроком действия договора с субъектом персональных данных, сроком исковой давности, Приказом Минкультуры Российской Федерации от 25 августа 2010 г. N 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", иными нормативными правовыми актами. По достижении целей обработки персональных данных или в случае утраты необходимости в их достижении, а также по истечении срока хранения персональные данные подлежат уничтожению.

Информация об изменениях:

Приказом Комитета информационных технологий и телекоммуникаций Вологодской области от 19 мая 2016 г. N 49-о в пункт 2.3 раздела II настоящего приложения внесены изменения

См. текст пункта в предыдущей редакции

2.3. При обработке персональных данных лиц, претендующих на замещение должностей государственной гражданской службы области, соблюдаются требования, установленные статьей 86 Трудового кодекса Российской Федерации, пунктом 5 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 г. N 609, и иными федеральными нормативными правовыми актами.

2.3.1. Персональные данные в течение периода прохождения государственной гражданской службы обрабатываются главным специалистом Комитета, уполномоченным на осуществление кадровой работы в Комитете (далее - главный специалист), консультантом Комитета.

2.3.2. После прекращения служебного контракта (трудового договора) и освобождения лица от замещаемой должности его персональные данные, содержащиеся:

- на бумажных носителях, - хранятся у главного специалиста три года, у консультанта Комитета - пять лет, после чего передаются в архив Комитета;

- в информационных системах персональных данных, - хранятся у главного специалиста, у консультанта Комитета в течение пяти лет, после чего подлежат уничтожению.

2.3.3. Персональные данные лиц, претендующих на замещение должностей государственной гражданской службы области, хранятся у главного специалиста в течение трех лет со дня их получения, после чего подлежат уничтожению.

2.3.4. Персональные данные граждан, не допущенных к участию в конкурсе на замещение вакантных должностей государственной гражданской службы области в Комитете и в конкурсе по формированию кадрового резерва, и граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор, хранятся на бумажных носителях у главного специалиста в течение трех лет после проведения конкурса, после чего подлежат уничтожению, если не возвращены по запросам граждан.

2.4. Обработка персональных данных иных физических лиц, представляемых в Комитет, осуществляется в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.

2.4.1. Персональные данные обрабатываются в целях реализации полномочий Комитета, в том числе по рассмотрению обращений физических лиц, подготовке наградных документов и учета граждан, награжденных государственными наградами, наградами Губернатора области, наградами Комитета.

2.4.2. Обращения, содержащие персональные данные физических лиц, обрабатываются в Комитете в течение срока рассмотрения обращений. В последующем указанные персональные данные:

- на бумажных носителях хранятся в течение пяти лет со дня рассмотрения обращения, после чего проводится экспертиза ценности документов должностными лицами, ответственными за ведение делопроизводства в Комитете, по результатам которой составляются описи дел постоянного срока хранения и акты о выделении дел к уничтожению. Дела постоянного хранения передаются в архив Комитета;

- в информационной системе хранятся в течение пяти лет со дня поступления обращения в базе данных на машинных носителях информации в Комитете, после чего подлежат уничтожению.

2.4.3. Персональные данные граждан, связанные с подготовкой наградных документов и учета граждан, награжденных государственными наградами, наградами Губернатора области и наградами Комитета обрабатываются у главного специалиста. Бумажные носители, содержащие персональные данные граждан, хранятся в течение пяти лет со дня их получения, после чего передаются для хранения в архив Комитета. В информационной системе персональные данные по награждению граждан обрабатываются в течение срока подготовки наградных документов и в последующем хранятся в виде резервной копии в течение семидесяти пяти лет, после чего подлежат уничтожению.

Информация об изменениях:

Приказом Комитета информационных технологий и телекоммуникаций Вологодской области от 19 мая 2016 г. N 49-о в подпункт 2.4.4 пункта 2.4 раздела II настоящего приложения внесены изменения

См. текст подпункта в предыдущей редакции

2.4.4. Персональные данные, обрабатываемые в целях исполнения договоров и ведения расчетов с физическими лицами, обрабатываются консультантом Комитета в течение срока действия договора или ведения расчетов с физическими лицами, в последующем хранятся на бумажных носителях и в информационной системе в течение пяти лет, после чего подлежат уничтожению.

2.5. В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты персональных данных имеют право на доступ к своим персональным данным, получение информации, касающейся обработки своих персональных данных, и обжалование действий (бездействия) оператора в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Трудовым кодексом Российской Федерации и иными федеральными и областными нормативными правовыми актами.

2.6. При обработке персональных данных, осуществляемой без использования средств автоматизации, оператором выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

2.7. Правила работы с обезличенными данными в Комитете и перечень должностей в Комитете, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, изложены соответственно в приложениях 3 и 4 к настоящему Положению.

2.8. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание) или путем уничтожения материального носителя. Бумажные носители персональных данных уничтожаются путем сжигания или измельчения до степени, исключающей возможность прочтения текста.

2.9. Уничтожение персональных данных осуществляется комиссией Комитета на основании акта об уничтожении.

2.10. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

III. Меры по обеспечению безопасности персональных данных при их обработке в Комитете

3.1. Безопасность персональных данных достигается путем исключения неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, распространения, предоставления, а также от иных неправомерных действий в отношении их.

3.2. Персональные данные субъектов персональных данных в Комитете обрабатываются на бумажных и электронных носителях в специально предназначенных для этого помещениях, занимаемых специалистами Комитета, осуществляющими деятельность по обработке персональных данных.

3.3. Обеспечение безопасности персональных данных при их обработке достигается путем принятия необходимых организационных и технических мер для их защиты, установленных статьей 19 Федерального закона "О персональных данных", разделом III Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687, а также иными федеральными нормативными правовыми актами. К организационным и техническим мерам защиты персональных данных относятся в том числе:

- определение мест хранения материальных носителей, содержащих персональные данные, соблюдение условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ;

- организация порядка уничтожения информации, содержащей персональные данные;

- обеспечение целостности программных средств информационной системы персональных данных, обрабатываемой информации, а также неизменности программной среды;

- соблюдение пользователями условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- соблюдение пользователями порядка реагирования на инциденты и восстановления работоспособности информационных систем.

3.4. Не допускается обработка персональных данных в информационных системах персональных данных при отсутствии:

- утвержденных орг