Приказ Департамента информационной политики Приморского края от 24.03.2016 N 24-43 "Об утверждении Положения о порядке обработки персональных данных в департаменте информационной политики Приморского края"

В соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", в целях реализации перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 года N 211

приказываю:

1. Утвердить прилагаемое Положение о порядке обработки персональных данных в департаменте информационной политики Приморского края.

2. Обеспечить размещение настоящего приказа на официальном сайте Администрации Приморского края и органов исполнительной власти Приморского края в информационно-телекоммуникационной сети "Интернет" и ознакомление с ним под роспись сотрудников департамента, допущенных к обработке персональных данных.

3. Контроль за исполнением настоящего приказа оставляю за собой.

Директор департамента

А.В. Казаков

Положение
о порядке обработки персональных данных в департаменте информационной политики Приморского края
(утв. приказом Департамента информационной политики Приморского края от 24 марта 2016 г. N 24-43)

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон), Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон об информации), Федеральным законом от 29 июля 2004 года N 98-ФЗ "О коммерческой тайне" (далее - Закон о коммерческой тайне), постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление), "Специальными требованиями и рекомендациями по технической защите конфиденциальной информации", утвержденными приказом Председателя Гостехкомиссии России от 30 августа 2002 года N 282 (далее - СТР-К), во исполнение постановления Администрации Приморского края от 28 июня 2013 года N 258-па "Об утверждении Инструкции по делопроизводству в Администрации Приморского края, органах исполнительной власти Приморского края, аппарате Губернатора Приморского края и аппарате Администрации Приморского края" (далее - Инструкция) и устанавливает единый порядок обработки информации ограниченного доступа, не относящихся к государственной тайне, в департаменте информационной политики Приморского края (далее - департамент).

1.2. В целях настоящего Положения используются следующие термины и понятия:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

- служебная информация - несекретная информация, касающаяся деятельности организации, ограничение на распространение которой диктуются служебной необходимостью;

- ответственный за обеспечение безопасности персональных данных - лицо, отвечающее за организацию и состояние процесса обработки персональных данных в информационной системе персональных данных (далее - ИСПДн);

- ответственный за информационную безопасность - должностное лицо, назначенное руководителем и несущее ответственность за соблюдение требований по обеспечению безопасности служебной информации, профессиональной тайны, а также информации, составляющая коммерческую тайну (далее - конфиденциальной информации).

2. Условия проведения обработки персональных данных

2.1. Обработка персональных данных осуществляется:

- при соблюдении условий обработки персональных данных, предусмотренных статьей 6 Федерального закона;

- после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона;

- приняты необходимые меры по защите персональных данных.

2.2. Обработка конфиденциальной информации допускается при выполнении требований Закона об информации, СТР-К и в соответствии с положениями Инструкции.

2.3. Сотрудник, ответственный за обеспечение безопасности персональных данных, в соответствии с пунктами 14-16 Постановления, назначается приказом директора департамента. Также, во исполнение Инструкции и для выполнения требований Закона об информации и СТР-К назначается должностное лицо, ответственное за информационную безопасность в департаменте.

2.4. Перечень лиц, допущенных к обработке персональных данных, определяется приказом директора департамента. Допуск к служебной информации вышеуказанных лиц производится в соответствии с Инструкцией.

2.5. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашение информации, содержащей персональные данные.

3. Порядок обработки персональных данных

3.1. Обработка персональных данных в информационных системах персональных данных осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

3.2. Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с действующими приказами контролирующих органов (Федеральная служба по техническому и экспортному контролю, Федеральная служба безопасности, Министерство информационных технологий и связи Российской Федерации), регламентирующими методы и способы защиты информации в ИСПДн.

3.3. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при необеспечении необходимого уровня защищенности информационных систем и при не полном наличии утвержденных документов о порядке эксплуатации информационных систем персональных данных (в т.ч. инструкций пользователя ИСПДн, по организации парольной защиты, антивирусной защиты, инструкции лица, ответственного за безопасность информации в подразделении, разграничении режима допуска в помещения, предназначенные для обработки персональных данных и т.д.).

4. Порядок обработки персональных данных без использования средств автоматизации

4.1. В соответствии с постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии должностного лица. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

4.2. При неавтоматизированной обработке персональных данных на бумажных носителях:

- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки, которых заведомо не совместимы;

- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки.

4.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:

1) типовая форма должна содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных - при необходимости получения письменного согласия на обработку персональных данных;

3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо не совместимы.

4.4. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.

4.5. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.

4.6. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных.

К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.

4.7. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

4.8. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

4.9. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

4.10. Обработка речевой конфиденциальной информации производится в соответствии с рекомендациями и требованиями СТР-К.

4.11. Неавтоматизированная обработка конфиденциальной информации производится в соответствии с требованиями Закона об информации и положениями Инструкции.

5. Ответственность должностных лиц

Гражданские государственные служащие, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

За разглашение служебной информации ограниченного распространения, а также нарушение порядка обращения с документами, содержащими такую информацию, гражданский государственный служащий может быть привлечен к ответственности в соответствии с Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации".

Нарушение требований Закона об информации в части правонарушений в сфере информации, информационных технологий и защиты информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с главой 13 Кодекса Российской Федерации об административных правонарушениях Российской Федерации.