Приказ Министерства информационных технологий, связи и средств массовой информации Нижегородской области от 07.05.2018 N 62-од "Об утверждении политики министерства информационных технологий и связи Нижегородской области в отношении обработки и защиты персональных данных"

В соответствии с пунктом 2 части 1 и частью 2 статьи 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" приказываю:

1. Утвердить прилагаемую Политику министерства информационных технологий и связи Нижегородской области в отношении обработки и защиты персональных данных.

2. Признать утратившим силу приказ министерства информационных технологий, связи и средств массовой информации Нижегородской области от 19.01.2015 N 3-од.

3. Контроль за исполнением настоящего приказа оставляю за собой.

Министр

С.Ю. Ефимов

Утверждена
приказом министерства
информационных технологий и связи
Нижегородской области
от 7 мая 2018 г. N 62-од

Политика
министерства информационных технологий и связи Нижегородской области в отношении обработки и защиты персональных данных

I. Общие положения

1.1. Настоящий документ определяет политику министерства информационных технологий и связи Нижегородской области в отношении обработки и защиты персональных данных (далее - Политика) и действует в отношении всех персональных данных, обрабатываемых в министерстве информационных технологий, связи и средств массовой информации Нижегородской области (далее - министерство).

1.2. Настоящая Политика определяет категории персональных данных, обрабатываемых в министерстве, категории субъектов, персональные данные которых обрабатываются в министерстве, цели, принципы, механизм и условия обработки персональных данных, а также меры защиты персональных данных, направленные на обеспечение выполнения министерством как оператором персональных данных обязанностей, предусмотренных действующим законодательством.

1.3. Обработка персональных данных в министерстве осуществляется в соответствии с:

- Конституцией Российской Федерации;

- Гражданским кодексом Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Налоговым кодексом Российской Федерации;

- Федеральным законом от 21 ноября 1996 года N 129-ФЗ "О бухгалтерском учете";

- Федеральным законом от 15 декабря 2001 года N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";

- Федеральным законом от 27 мая 2003 года N 58-ФЗ "О системе государственной гражданской службы Российской Федерации";

- Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации";

- Федеральным законом от 19 декабря 2005 года N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных";

- Федеральный закон от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

- Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);

- Федеральным законом от 29 ноября 2010 года N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";

- Указом Президента Российской Федерации от 6 марта 1997 года N 188 "Об утверждении Перечня сведений конфиденциального характера";

- Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

- постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Законом Нижегородской области от 10 мая 2006 года N 40-З "О государственной гражданской службе Нижегородской области";

- приказом ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- приказом Роскомнадзора от 5 сентября 2013 года N 996 "Об утверждении требований и методов по обезличиванию персональных данных";

- методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденными ФСБ России 21 февраля 2008 года;

- методическими рекомендациями по применению приказа Роскомнадзора от 5 сентября 2013 года N 996 "Об утверждении требований и методов по обезличиванию персональных данных", утвержденными Роскомнадзором 13 декабря 2013 года;

- правилами внутреннего трудового распорядка министерства;

- иными нормативными правовыми актами, регулирующими процесс обработки и защиты персональных данных.

1.4. Настоящая Политика не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов, имеющих статус архивных документов в соответствии с действующим законодательством об архивном деле в Российской Федерации.

1.5. Положения настоящей Политики являются обязательными для исполнения всеми сотрудниками министерства.

1.6. Понятия, используемые в настоящей Политике, применяются в значениях, определенных Федеральным законом N 152-ФЗ и Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

1.7. Настоящая Политика Подлежит опубликованию на официальном сайте министерства в информационно-телекоммуникационной сети "Интернет", а также на Портале анализа кадрового потенциала.

II. Категории обрабатываемых персональных данных

2.1. В министерстве обрабатываются персональные данные, которые не относятся в соответствии с действующим законодательством к специальным и биометрическим категориям персональных данных.

2.2. Министерство не обрабатывает персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной (частной) жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности. Обработка специальной категории персональных данных субъекта (сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения им трудовых функций) осуществляется министерством в соответствии с п. 2.3 ч. 2 ст. 10 Федерального закона N 152-ФЗ.

III. Категории субъектов персональных данных

Под субъектами, персональные данные которых обрабатываются в министерстве, понимаются следующие категории:

1) сотрудники министерства, замещающие или ранее замещавшие в министерстве должности государственной гражданской службы и должности, не отнесенные к государственной гражданской службе;

2) претенденты на замещение должностей в министерстве или должностей руководителей подведомственных министерству организаций (предприятий, учреждений), претендующие или ранее претендовавшие на замещение данных должностей в рамках: проведения конкурса на замещение вакантной должности государственной гражданской службы; проведения мероприятий по замещению должности, не отнесенной к государственной гражданской службе; перевода с другого места работы (службы); проведения мероприятий по включению в кадровый резерв;

3) руководители подведомственных министерству организаций (предприятий, учреждений), замещающие или ранее замещавшие данную должность;

4) практиканты (стажеры), проходящие или ранее проходившие практику (стажировку) в министерстве;

5) контрагенты, к которым относятся поставщики (исполнители, подрядчики), имеющие или ранее имевшие с министерством договорные отношения;

6) заявители, к которым относятся граждане, осуществляющие или ранее осуществлявшие обращение в министерство, в том числе с целью личного приема;

7) граждане, являющиеся сотрудниками федеральных органов, органов исполнительной власти и местного самоуправления Нижегородской области, подведомственных им организаций (предприятий, учреждений), а также организаций (предприятий, учреждений), в уставном (складочном) капитале которых доля (вклад) Нижегородской области и (или) муниципальных образований Нижегородской области составляет 50% (пятьдесят процентов) и более, и расположенных на территории Нижегородской области;

8) физические лица, персональные данные которых обрабатываются в центре обработки данных министерства в рамках договора поручения обработки персональных данных или в рамках исполнения государственных функций (договорных обязательств), возложенных на министерство.

IV. Цели обработки персональных данных

Обработка персональных данных в министерстве осуществляется в целях:

- исполнения государственных функций, возложенных на министерство (рассмотрение обращений заявителей (граждан) в соответствии с требованиями действующего законодательства, в том числе в рамках личного приема граждан; заключение и исполнение гражданско-правовых договоров между контрагентами и министерством; обязательное опубликование или раскрытие персональных данных субъектов в соответствии с действующим законодательством; исполнение запросов федеральных ведомств);

- реализации служебных и трудовых отношений (принятие решения о трудоустройстве граждан в министерство или на должности руководителей подведомственных министерству организаций (предприятий, учреждений); исполнение требований трудового, налогового и пенсионного законодательства Российской Федерации; ведение бухгалтерского учета).

V. Механизм обработки персональных данных

5.1. В министерстве осуществляется смешанная обработка персональных данных как с применением средств вычислительной техники, в информационных системах персональных данных, так и без использования средств автоматизации.

5.2. В министерстве не производится трансграничная передача персональных данных за исключением случаев защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных при невозможности получения от него согласия в письменной форме на такую передачу, и при условии, что субъект персональных данных является сотрудником министерства.

VI. Принципы и условия обработки персональных данных

6.1. Обработка персональных данных осуществляется в министерстве с соблюдением следующих принципов:

- обработка осуществляется на законной и справедливой основе;

- обработка ограничивается достижением конкретных, заранее определенных и законных целей;

- обрабатываются тот состав персональных данных и в том объеме, которые отвечают заявленным целям обработки;

- обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается;

- объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, не допускается;

- при обработке персональных данных обеспечивается их точность, достаточность и в необходимых случаях актуальность по отношению к целям обработки, принимаются меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, с соблюдением законодательно определенных требований к обработке и защите персональных данных;

- в случае отзыва субъектом согласия на обработку его персональных данных, а также по достижении целей их обработки или в случае подтверждения факта их неправомерной обработки министерство прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению министерства);

- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки, истечению срока обработки, отзыва согласия субъекта персональных данных на обработку, при ликвидации министерства или в случае утраты необходимости в обработке персональных данных, если иное не предусмотрено действующим законодательством;

- при принятии решений, затрагивающих интересы субъекта персональных данных, министерство не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

6.2. Лица, получившие от министерства доступ к персональным данным, обязаны обеспечить их конфиденциальность.

6.3. В министерстве обрабатываются персональные данные субъекта с получением согласия на обработку в случаях, когда его получение в соответствии с действующим законодательством является обязательным условием обработки. Согласие субъекта может быть дано им или его законным представителем (наследником) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом N 152-ФЗ. С учетом положений действующего законодательства согласие может быть дано в письменной либо электронной форме, оформлено как в виде отдельного документа, так и закреплено в тексте договора (контракта), если это применимо и ничему не противоречит. В случае отзыва согласия на обработку персональных данных министерство вправе продолжить их обработку без согласия только при наличии оснований, определенных действующим законодательством.

6.4. Министерство несет обязанность предоставить доказательство получения согласия на обработку персональных данных или доказательство наличия законодательно определенных оснований, когда такое согласие не требуется.

6.5. Министерство при обработке и защите персональных данных соблюдает законодательно установленные права субъектов персональных данных, а также разъясняет им порядок защиты их прав и законных интересов, и предоставляет возможность заявить возражения. Сведения предоставляются субъекту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам.

6.6. Все сотрудники министерства знакомятся под роспись с локальными актами, устанавливающими правила обработки персональных данных, а также об их правах и обязанностях в этой области.

VII. Сведения о третьих лицах, участвующих в обработке персональных данных

7.1. В целях реализации служебных и трудовых отношений министерство предоставляет персональные данные определенных категорий субъектов в территориальные налоговые службы (инспекции), пенсионные фонды, органы статистики, органы (фонды) социального страхования, военные комиссариаты, профсоюзные органы, банковские организации, управление государственной гражданской и муниципальной службы Нижегородской области.

В целях осуществления министерством государственных функций министерство предоставляет персональные данные определенных категорий субъектов в федеральные ведомства.

Контрольно-надзорным органам, в том числе органам прокуратуры, правоохранительным органам, органам безопасности, государственным инспекциям труда министерство предоставляет доступ к персональным данным только в пределах их компетенции, в том объеме и для осуществления только тех целей, которые необходимы им для реализации функций, установленных для них действующим законодательством Российской Федерации.

7.2. Передача персональных данных субъекта в коммерческих целях не осуществляется.

7.3. Министерство вправе поручить обработку персональных данных субъектов третьим лицам с соблюдением требований действующего законодательства, предъявляемых к обработке и защите персональных данных.

VIII. Защита персональных данных при их обработке. Меры, направленные на обеспечение выполнения министерством обязанностей, предусмотренных статьями 18.1 и 19 Федерального закона N 152-ФЗ

8.1. При обработке персональных данных министерство принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. Министерство самостоятельно определяет состав и перечень указанных мер, необходимых и достаточных для обеспечения выполнения им требований действующего законодательства в области обработки и защиты персональных данных.

8.2. Обеспечение защиты персональных данных в министерстве достигается следующими способами:

1) применением предусмотренных нормативными правовыми актами в области обработки и защиты персональных данных необходимых правовых, организационных и технических мер по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах персональных данных;

2) назначением в установленном порядке лица, ответственного за организацию обработки персональных данных в министерстве, администраторов и администраторов безопасности информационных систем персональных данных;

3) утверждением Положения министерства об обработке персональных данных субъектов, определяющего правила обработки персональных данных в министерстве;

4) ознакомлением лиц, указанных в подпункте 2 настоящего пункта Политики, и сотрудников министерства, имеющих доступ к персональным данным в целях их обработки, к информационным системам персональных данных и их компонентам, с положениями настоящей Политики, действующим законодательством и иными локальными актами по вопросам обработки и защиты персональных данных;

5) осуществлением контроля соответствия обработки и защиты персональных данных в министерстве требованиям действующего законодательства, настоящей Политики и иных локальных актов, а также оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных, в том числе до ввода информационных систем персональных данных в эксплуатацию;

6) осуществлением контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

7) оценкой вреда (возможных последствий), который может быть причинен субъектам персональных данных в случае нарушения действующего законодательства в области обработки и защиты персональных данных, соотношение указанного вреда и принимаемых министерством мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством, настоящей Политикой и иными локальными актами;

8) установлением правил доступа к персональным данным, обрабатываемым в том числе в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными, в том числе в информационных системах персональных данных;

9) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

10) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

11) учетом носителей персональных данных, в том числе машинных;

12) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

13) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

14) выполнением требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", при обработке персональных данных, осуществляемой без использования средств автоматизации;

15) осуществлением обезличивания персональных данных, обрабатываемых в информационных системах персональных данных, в случаях, установленных действующим законодательством в соответствии с требованиями и методами, определенными уполномоченным органом по защите прав субъектов персональных данных;

16) уведомлением в соответствии с Федеральным законом N 152-ФЗ уполномоченного органа по защите прав субъектов персональных данных об обработке либо намерении осуществлять обработку персональных данных в министерстве.

8.3. Обязанности и ответственность лиц, указанных в подпункте 2 пункта 21 настоящей Политики, определяются локальными актами министерства.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Пункт 21 в настоящей Политике отсутствует

8.4. В случае появления обстоятельств непреодолимой силы, возникших в результате событий чрезвычайного характера, которые невозможно предвидеть и предотвратить, сотрудники министерства, имеющие доступ к персональным данным, обязаны принять все возможные меры по недопущению нарушения прав субъектов персональных данных.

IX. Ответственность за нарушение положений настоящей Политики

Министерство и должностные лица министерства, участвующие в обработке персональных данных субъектов, в соответствии с действующим законодательством Российской Федерации несут ответственность за несоблюдение положений настоящей Политики и действующего законодательства в сфере обработки персональных данных.