Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ управления печати и массовых коммуникаций Алтайского края от 17 ноября 2022 г. N 114 "Об организации обработки и обеспечения безопасности персональных данных в управлении печати и массовых коммуникаций Алтайского края" (с изменениями и дополнениями)
- Приложение 1. Положение об организации обработки и обеспечения безопасности персональных данных в управлении печати и массовых коммуникаций Алтайского края
Приложение 1. Положение об организации обработки и обеспечения безопасности персональных данных в управлении печати и массовых коммуникаций Алтайского края
Приложение 1
УТВЕРЖДЕНО
приказом управления
печати и массовых коммуникаций
Алтайского края
от 17.11.2022 N 114
Положение
об организации обработки и обеспечения безопасности персональных данных в управлении печати и массовых коммуникаций Алтайского края
I. Общие положения
1.1. Положение об организации обработки и обеспечения безопасности персональных данных в управлении печати и массовых коммуникаций Алтайского края (далее - "Положение") определяет цели, содержание и порядок обработки персональных данных, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в управлении печати и массовых коммуникаций Алтайского края (далее - "Управление").
1.2. Положение определяет политику Управления как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
Обработка персональных данных в Управлении осуществляется с соблюдением принципов и условий, предусмотренных Положением и законодательством Российской Федерации в области персональных данных.
1.3. Управление как оператор осуществляет обработку персональных данных, определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.4. Понятия и термины, используемые в Положении, применяются в соответствии со значениями понятий и терминов, определенными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - "Закон N 152-ФЗ") и принятыми в соответствии с ним нормативными правовыми актами.
1.5. В Управлении персональные данные обрабатываются в целях:
1.5.1. реализации служебных (трудовых) отношений;
1.5.2. выполнения возложенных на Управление функций и полномочий;
1.5.3. осуществления статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 Закона N 152-ФЗ.
1.6. К категориям субъектов, персональные данные которых обрабатываются в соответствии с Положением, относятся:
1.6.1. государственные гражданские служащие Управления (далее - "гражданские служащие"), руководители подведомственных организаций, граждане, претендующие на замещение вакантных должностей государственной гражданской службы Алтайского края в Управлении (далее - "гражданская служба"), должностей руководителей подведомственных организаций, а также члены их семей;
1.6.2. граждане, в том числе являющиеся представителями организаций, обратившиеся в Управление в связи с исполнением возложенных на Управление функций, полномочий (далее - "функции"), а также в связи с реализацией их права на обращение в Управление в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - "граждане", "заявители");
1.6.3. лица, представляемые к награждению (поощрению), в отношении которых в Управление внесены ходатайства о награждении (поощрении).
1.7. В целях реализации служебных (трудовых) отношений в Управлении обрабатываются персональные данные субъектов, указанных в подпункте 1.6.1 пункта 1.6 Положения, перечисленные в пунктах 1-40 перечня персональных данных, обрабатываемых в управлении печати и массовых коммуникаций Алтайского края (далее - "Перечень"), утвержденного настоящим приказом.
1.8. В целях выполнения возложенных на Управление функций обрабатываются персональные данные субъектов, указанных в подпунктах 1.6.2 и 1.6.3 пункта 1.6 Положения, а также перечисленные в пунктах 1, 3-6, 8-12, 17, 19, 31, 40 Перечня.
1.9. В статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона N 152-ФЗ, обрабатываются персональные данные, перечисленные в пунктах 1-40 Перечня. Обработка персональных данных в статистических или иных исследовательских целях осуществляется при условии обязательного обезличивания персональных данных.
II. Условия и порядок обработки персональных данных в связи с реализацией служебных (трудовых) отношений
2.1. Персональные данные гражданских служащих, граждан, претендующих на замещение должностей гражданской службы, лиц, замещающих должности руководителей подведомственных Управлению организаций, а также граждан, претендующих на замещение должностей руководителей подведомственных Управлению организаций, обрабатываются в целях реализации служебных (трудовых) отношений, в том числе в следующих целях:
содействия гражданским служащим в прохождении гражданской службы (руководителям подведомственных Управлению организаций - в целях содействия выполнению работы);
формирования кадрового резерва гражданской службы;
обучения и должностного роста;
учета результатов исполнения гражданскими служащими, лицами, замещающими должности руководителей подведомственных Управлению организаций, должностных (трудовых) обязанностей;
обеспечения гражданским служащим Управления установленных законодательством Российской Федерации условий труда, гарантий и компенсаций;
противодействия коррупции.
2.2. Обработка персональных данных гражданских служащих, граждан, претендующих на замещение должностей гражданской службы в Управлении, лиц, замещающих должности руководителей подведомственных Управлению организаций, а также граждан, претендующих на замещение должностей руководителей подведомственных Управлению организаций, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 2.1 Положения, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Закона N 152-ФЗ.
2.3. Обработка персональных данных гражданских служащих, граждан, претендующих на замещение должностей гражданской службы в Управлении, лиц, замещающих должности руководителей подведомственных Управлению организаций, а также граждан, претендующих на замещение должностей руководителей подведомственных Управлению организаций, осуществляется при условии получения согласия указанных лиц в следующих случаях:
2.3.1. при передаче (распространении, предоставлении, доступе) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации в области персональных данных;
2.3.2. при трансграничной передаче персональных данных;
2.3.3. при получении персональных данных у третьей стороны;
2.3.4. при обработке биометрических персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Закона N 152-ФЗ.
2.4. В случаях, предусмотренных пунктом 2.3 Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Законом N 152-ФЗ. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, должно оформляться отдельно от иных согласий субъекта персональных данных на обработку его персональных данных и соответствовать требованиям к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утвержденным приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 N 18.
2.5. Обработка персональных данных гражданских служащих, граждан, претендующих на замещение должностей гражданской службы в Управлении, лиц, замещающих должности руководителей подведомственных Управлению организаций, а также граждан, претендующих на замещение должностей руководителей подведомственных Управлению организаций, осуществляется отделом правового, кадрового и организационного обеспечения и отделом финансово-экономического обеспечения, бухгалтерского учета и отчетности Управления и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных гражданских служащих, граждан, претендующих на замещение должностей гражданской службы в Управлении, лиц, замещающих должности руководителей подведомственных Управлению организаций, а также граждан, претендующих на замещение должностей руководителей подведомственных Управлению организаций, осуществляется путем:
2.6.1. получения оригиналов необходимых документов (заявления, трудовой книжки и (или) сведений о трудовой деятельности на бумажном носителе, заверенных надлежащим образом, или в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, автобиографии, иных документов, предоставляемых в Управление);
2.6.2. копирования оригиналов документов;
2.6.3. внесения сведений в учетные формы (на бумажных и электронных носителях);
2.6.4. формирования персональных данных в ходе кадровой работы;
2.6.5. внесения персональных данных в информационные системы персональных данных.
2.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от государственных служащих, граждан, претендующих на замещение должностей государственной службы Управления, лиц, замещающих должности руководителей подведомственных Управлению организаций, а также граждан, претендующих на замещение должностей руководителей подведомственных Управлению организаций.
2.8. Получение персональных данных гражданского служащего либо лица, замещающего должность руководителя подведомственной Управлению организации, у третьей стороны допускается при условии получения их письменного согласия. Указанные лица извещаются об этом заранее с указанием целей, предполагаемых источников и способов получения персональных данных, а также характера подлежащих получению персональных данных и последствий отказа указанных лиц дать письменное согласие на их получение.
2.9. Запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего, руководителя подведомственной Управлению организации персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных Законом N 152-ФЗ.
2.10. При сборе персональных данных сотрудник отдела правового, кадрового и организационного обеспечения Управления, осуществляющий сбор (получение) персональных данных непосредственно от гражданских служащих, граждан, претендующих на замещение должностей гражданской службы в Управлении, лиц, замещающих должности руководителей подведомственных Управлению организаций, а также граждан, претендующих на замещение должностей руководителей подведомственных Управлению организаций, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
2.11. Передача (распространение, предоставление) и использование персональных данных гражданских служащих, граждан, претендующих на замещение должностей гражданской службы в Управлении, лиц, замещающих должности руководителей подведомственных Управлению организаций, а также граждан, претендующих на замещение должностей руководителей подведомственных Управлению организаций, осуществляется только в случаях и в порядке, предусмотренных федеральными законами.
III. Условия и порядок обработки персональных данных в связи с выполнением возложенных на Управление функций
3.1. В Управлении обработка персональных данных физических лиц осуществляется в целях исполнения возложенных на Управление функций, а также в связи с реализацией их права на обращение в Управление в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".
3.2. Персональные данные граждан, обратившихся в Управление лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения. В соответствии с законодательством Российской Федерации в Управлении подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.
3.3. Персональные данные граждан обрабатываются в Управлении в объеме, необходимом и достаточном для выполнения функций в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, регулирующими сферу деятельности Управления.
3.4. Обработка персональных данных, необходимых в связи с исполнением функций, осуществляется структурными подразделениями Управления, исполняющими соответствующие функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).
3.6. При исполнении функций гражданским служащим Управления запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.
3.7. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Управления, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся в связи с исполнением Управлением функции, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
3.8. Обработка персональных данных лиц, представляемых к награждению (поощрению), в отношении которых в Управление внесены ходатайства о награждении (поощрении), осуществляется в целях и по основаниям, предусмотренным приказом управления печати и массовых коммуникаций Алтайского края от 30.06.2022 N 67 "О наградах и поощрениях управления печати и массовых коммуникаций Алтайского края".
IV. Организация обработки и обеспечения безопасности персональных данных в информационных системах Управления
4.1. Обработка персональных данных в Управлении может осуществляться с использованием информационных систем персональных данных.
4.2. Перечень информационных систем персональных данных Управления (далее - "ИСПДн") утверждается приказом Управления в соответствии с подпунктом "б" пункта 1 постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
4.3. Обработка персональных данных в целях выполнения возложенных на Управление функций, а также реализации служебных (трудовых) отношений может осуществляться с использованием иных информационных систем персональных данных, оператором которых Управление не является.
4.4. Гражданским служащим Управления, имеющим право осуществлять обработку персональных данных в информационных системах персональных данных, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе.
4.5. Информация вносится в информационные системы персональных данных в автоматизированном либо ручном режиме (при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию).
4.6. Обеспечение безопасности персональных данных, обрабатываемых в ИСПДн Управления, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
4.6.1. определение угроз безопасности персональных данных при их обработке в ИСПДн Управления;
4.6.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн Управления, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
4.6.3. применение прошедших в установленном законодательством Российской Федерации порядке процедур оценки соответствия средств защиты информации;
4.6.4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн Управления;
4.6.5. учет машинных носителей персональных данных;
4.6.6. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
4.6.7. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
4.6.8. установление правил доступа к персональным данным, обрабатываемым в ИСПДн Управления, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
4.6.9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн Управления.
4.7. Обеспечение безопасности персональных данных, обрабатываемых в иных информационных системах персональных данных, используемых Управлением в целях выполнения возложенных на Управление функций, а также реализации служебных (трудовых) отношений, организуется с учетом требований, предъявляемых операторами таких систем к обеспечению информационной безопасности.
4.8. Меры, указанные в пункте 4.6 Положения, реализуются ответственными структурными подразделениями Управления в соответствии с принятыми локальными правовыми актами и положениями действующего законодательства Российской Федерации.
V. Особенности обработки и обеспечения безопасности персональных данных, осуществляемой без использования средств автоматизации
5.1. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с реализацией Управлением служебных (трудовых) отношений либо выполнения возложенных на Управление функций, хранятся на бумажных носителях в структурных подразделениях Управления, к полномочиям которых относится обработка персональных данных в соответствии с положениями об этих структурных подразделениях.
5.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях, в специальных разделах или на полях форм (бланков).
5.3. Должно обеспечиваться раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Положением.
5.4. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
5.5. Контроль за хранением и использованием материальных носителей персональных данных в целях недопущения несанкционированного использования, уточнения, распространения и уничтожения персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Управления.
5.6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте неавтоматизированной обработки ими персональных данных, категориях обрабатываемых персональных данных, а также ознакомлены с особенностями и правилами осуществления такой обработки, установленными законодательством Российской Федерации в области персональных данных, а также Положением.
VI. Сроки обработки и хранения персональных данных
6.1. Персональные данные, полученные Управлением на бумажном и (или) электронном носителях, хранятся в соответствующих структурных подразделениях Управления, к полномочиям которых относится обработка персональных данных в соответствии с положениями об этих структурных подразделениях.
6.2. Обработка персональных данных граждан, претендующих на замещение вакантных должностей гражданской службы в Управлении, а также членов их семей осуществляется в соответствии с Указом Президента Российской Федерации от 01.02.2005 N 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации".
6.3. Хранение личных дел лиц, уволенных с гражданской службы, осуществляется в соответствии с Положением о персональных данных государственного гражданского служащего Российской Фе