Приложение. Положение об обработке персональных данных в Министерстве по физической культуре и спорту Республики Дагестан. Приказ Министерства по физической культуре и спорту Республики Дагестан от 01.04.2013 N 77 "Об утверждении Положения об обработке персональных данных в Министерстве по физической культуре и спорту Республики Дагестан"

Приложение
к приказу
Министерства по физической
культуре и спорту
Республики Дагестан
от 1 апреля 2013 г. N 77

Положение
об обработке персональных данных в Министерстве по физической культуре и спорту Республики Дагестан

1. Настоящим Положением определяется порядок обработки, формирования и хранения персональных данных государственных гражданских служащих, замещающих должности государственной гражданской службы Республики Дагестан (далее - гражданские служащие) в Министерстве по физической культуре и спорту Республики Дагестан (далее - Министерство), работников Министерства, руководителей подведомственных учреждений, находящихся в ведении Министерства, кандидатов на службу (работу), лиц, уволенных со службы (работы), электронных банков данных содержащих персональные данные спортсменов Республики Дагестан, проходящих спортивную подготовку, обрабатываемых на основании полномочий Министерства, в целях защиты прав граждан на неприкосновенность частной жизни, личную и семейную тайну, а также установления ответственности должностных лиц, имеющих доступ к персональным данным, за нарушение требований норм, регулирующих обработку и защиту персональных данных.

2. Настоящее Положение разработано в соответствии с Трудовым кодексом РФ, Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Трудовым кодексом Российской Федерации, Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Законом Республики Дагестан от 12 октября 2005 года N 32 "О государственной гражданской службе Республики Дагестан" и другими нормативными правовыми актами.

3. В настоящем Положении используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

4. Представитель нанимателя в лице министра по физической культуре и спорту Республики Дагестан (далее - министр), его заместители и уполномоченные должностные лица, определенные приказом Министерства, обеспечивают защиту персональных данных от неправомерного использования или утраты. Перечень персональных данных, обрабатываемых и хранимых в Министерстве, приводится в приложении к настоящему Положению.

5. Министр определяет лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Министерстве и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

6. Доступ к персональным данным без специального разрешения имеют министр и следующие государственные гражданские служащие Министерства:

заместители министра;

начальник управления бухгалтерского учета и бюджетного планирования;

начальник отдела и государственные гражданские служащие отдела бухгалтерского учета и отчетности;

начальник отдела и государственные гражданские служащие отдела организационной и кадровой работы;

начальник отдела правового регулирования и внутреннего аудита.

7. Оператор вправе обрабатывать персональные данные субъектов персональных данных только с их письменного согласия. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Согласия субъектов персональных данных не требуется в случаях, установленных федеральными законами.

8. Все персональные данные предоставляются субъектами персональных данных в установленном порядке лично. Если персональные данные возможно получить только у третьей стороны, то оператор обязан заранее уведомить об этом субъекта персональных данных и получить его письменное согласие.

9. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

10. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни без его письменного согласия.

11. Оператор не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

12. При принятии решений, затрагивающих интересы субъекта персональных данных, запрещается основываться на сведениях, полученных исключительно в результате автоматизированной обработки или с использованием электронных носителей.

13. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных, его законного представителя или уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных субъекта персональных данных с момента такого обращения или получения запроса на период проверки.

В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, обязан уточнить персональные данные и снять блокирование.

В случае подтверждения факта неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с момента выявления, обязан устранить допущенные нарушения либо при невозможности устранения допущенных нарушений уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

Уполномоченным органом по защите прав субъектов персональных данных является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Дагестан (Управление Роскомнадзора по Республике Дагестан).

14. Оператор обязан обеспечить конфиденциальность персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных.

15. Передача персональных данных третьей стороне не допускается без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами.

16. В случае, если оператор поручает обработку персональных данных подведомственному учреждению, существенным условием выполнения работ является обязанность обеспечения указанным учреждением конфиденциальности персональных данных и безопасности персональных данных при их обработке.

17. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, за исключением случаев, установленных федеральными законами. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, а также при необходимости уничтожения или обезличивания части персональных данных указанные данные копируются и (или) уничтожаются в установленном порядке уполномоченными должностными лицами. Персональные данные, зафиксированные на материальном носителе, должны храниться в помещении, оборудованном специальными шкафами и сейфами, которые запираются и опечатываются.

18. В целях обеспечения защиты персональных данных субъекты персональных данных имеют право:

1) получать полную информацию о своих персональных данных и обработке персональных данных, в том числе автоматизированной;

2) осуществлять право свободного бесплатного доступа к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами;

3) требовать исключения или исправления неверных или неполных персональных данных, а также персональных данных, обработанных с нарушением федеральных законов. При отказе оператора исключить или исправить его персональные данные субъект персональных данных имеет право заявить в письменной форме в уполномоченный орган по защите прав субъектов персональных данных о своем несогласии, обосновав соответствующим образом такое несогласие;

4) требовать от оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных изменениях или исключениях;

5) обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований федеральных законов или иным образом нарушает его права и свободы.

19. Исключение возможности несанкционированного доступа к персональным данным обеспечивается:

1) раздельным хранением персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

2) запретом доступа к персональным данным (материальным носителям) без специального разрешения руководства Министерства иным лицам, кроме указанных в пункте 6 настоящего Положения;

3) хранением материальных носителей в специальных шкафах, сейфах, использованием паролей при обработке и хранении персональных данных в информационных системах в электронной форме;

4) запретом нахождения посторонних лиц в служебных помещениях Министерства, в которых располагаются соответствующие шкафы, сейфы, персональные компьютеры.

Реализация указанных мер осуществляется должностными лицами, уполномоченными на обработку персональных данных.

20. Должностные лица Министерства, уполномоченные на обработку и хранение персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность за разглашение конфиденциальных сведений, содержащихся в персональных данных, а также за иные нарушения порядка обработки и хранения персональных данных, установленного настоящим Положением.

21. Ответственный за организацию обработки персональных данных в Министерстве назначается министром из числа государственных служащих, относящихся к высшей или главной группе должностей категории "руководители".

22. Ответственный за обработку персональных данных Министерства в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящим Положением.

23. Ответственный за обработку персональных данных Министерства обязан:

23.1. организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Министерстве, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

23.2. осуществлять внутренний контроль за соблюдением государственными служащими Министерства требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

23.3. доводить до сведения государственных служащих Министерства положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

23.4. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Министерстве;

23.5. в случае нарушения в Министерстве требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

24. Ответственный за обработку персональных данных вправе:

24.1. иметь доступ к информации, касающейся обработки персональных данных в центральном аппарате Министерства и включающей:

24.1.1. цели обработки персональных данных;

24.1.2. категории обрабатываемых персональных данных;

24.1.3. категории субъектов, персональные данные которых обрабатываются;

24.1.4. правовые основания обработки персональных данных;

24.1.5. перечень действий с персональными данными, общее описание используемых в Министерстве способов обработки персональных данных;

24.1.6. описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

24.1.7. дату начала обработки персональных данных;

24.1.8. срок или условия прекращения обработки персональных данных;

24.1.9. сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

24.1.10. сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;

24.2. привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Министерстве, иных государственных служащих с возложением на них соответствующих обязанностей и закреплением ответственности.

25. Ответственный за обработку персональных данных в Министерстве несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных в Министерстве в соответствии с положениями законодательства Российской Федерации в области персональных данных.