Приложение 1. Приказ Департамента правового обеспечения и государственного финансового контроля Орловской области от 27.10.2017 N 118 "О внесении изменений в приказ Департамента правового обеспечения и государственного финансового контроля Орловской области от 31 июля 2015 года N 61 "Об организации работы с персональными данными в Департаменте правового обеспечения и государственного финансового контроля Орловской области, а также по обеспечению безопасности персональных данных и служебной информации в информационных системах Департамента правового обеспечения и государственного финансового контроля Орловской области" (утратил силу)

Приложение 1
к приказу Департамента правового
обеспечения и государственного
финансового контроля
Орловской области
от 27 октября 2017 г. N 118

Приложение 1
к приказу Департамента правового
обеспечения и государственного
финансового контроля
Орловской области
от 31 июля 2015 г. N 61

Правила
обработки персональных данных в Департаменте правового обеспечения и государственного финансового контроля Орловской области

I. Общие положения

1. Правила обработки персональных данных в Департаменте правового обеспечения и государственного финансового контроля Орловской области (далее - Правила) определяют цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных оснований, предусмотренных законодательством, а также устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных.

2. Департамент правового обеспечения и государственного финансового контроля Орловской области (далее также - Департамент) является оператором персональных данных в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

3. В Департаменте обработка персональных данных осуществляется с соблюдением принципов, условий и требований, предусмотренных:

Трудовым кодексом Российской Федерации;

Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации";

Федеральным законом от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";

Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

иными правовыми актами Российской Федерации, правовыми актами Орловской области в сфере обработки персональных данных.

4. Субъектами персональных данных, обрабатываемых Департаментом, являются:

государственные гражданские служащие Орловской области, замещающие должности государственной гражданской службы Орловской области в Департаменте, их супруги и несовершеннолетние дети;

работники, замещающие должности, не являющиеся должностями государственной гражданской службы Орловской области в Департаменте, их супруги и несовершеннолетние дети;

граждане, персональные данные которых обрабатываются в связи с исполнением Департаментом своих задач, функций и полномочий.

5. Права субъектов персональных данных в области обработки их персональных данных установлены Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", а также иными нормативными правовыми актами в сфере обработки персональных данных.

6. Обработка персональных данных осуществляется в целях реализации Департаментом задач, функций и полномочий, предусмотренных Законом Орловской области от 10 ноября 2014 года N 1683-ОЗ "О Правительстве и системе органов исполнительной государственной власти Орловской области", постановлением Правительства Орловской области от 16 декабря 2014 года N 383 "Об утверждении Положения о Департаменте правового обеспечения и государственного финансового контроля Орловской области".

7. Для реализации целей, указанных в пункте 6 Правил, Департамент осуществляет обработку следующих категорий персональных данных:

1) фамилия, имя, отчество, пол;

2) число, месяц, год рождения;

3) место рождения;

4) данные паспорта гражданина Российской Федерации (серия, номер, наименование органа, выдавшего его, дата выдачи);

5) адрес регистрации (фактического проживания);

6) номер контактного телефона или сведения о других способах связи;

7) семейное положение, состав семьи и сведения о близких родственниках, сведения о рождении детей;

8) информация об отпусках;

9) информация о надбавках и премиях, устанавливаемых членом Правительства Орловской области - руководителем Департамента правового обеспечения и государственного финансового контроля Орловской области;

10) номер расчетного счета в банке для перечисления денежного содержания и иных выплат.

8. Обработка персональных данных субъектов персональных данных в Департаменте в рамках реализации целей, определенных пунктом 6 настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона 27 июля 2006 года N 152-ФЗ "О персональных данных" осуществляется без согласия субъектов персональных данных.

9. Обработку персональных данных осуществляют государственные гражданские служащие Орловской области, замещающие должности государственной гражданской службы Орловской области в Департаменте, работники, замещающие должности, не являющиеся должностями государственной гражданской службы Орловской области в Департаменте (далее также - сотрудники Департамента) согласно Перечню должностей в Департаменте правового обеспечения и государственного финансового контроля Орловской области, исполнение обязанностей по которым предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждаемому приказом Департамента.

10. Обработка персональных данных включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение.

11. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных.

12. В случае отказа субъекта персональных данных предоставить свои персональных данные, предоставление которых является обязательным в соответствии с законодательством Российской Федерации, Департамент в письменной форме разъясняет данному субъекту юридические последствия отказа предоставить свои персональные данные.

13. Обработка персональных данных в Департаменте осуществляется с использованием средств автоматизации, а также без использования таких средств (на бумажном носителе информации) в соответствии с положениями разделов II, III Правил.

14. Обработка персональных данных в Департаменте не требует обезличивания персональных данных.

15. Обработке подлежат только персональные данные, которые соответствуют целям их обработки.

16. При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Департамент принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

17. Передача (предоставление, доступ) и использование персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством Российской Федерации, а также для целей, указанных в пункте 6 Правил.

18. Сроки хранения персональных данных определены законодательством Российской Федерации.

19. Уничтожение документов, содержащих персональные данные с истекшими сроками хранения, осуществляются в порядке, предусмотренном распоряжением Правительства Орловской области от 3 сентября 2015 года N 315-р.

20. Для выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных в Департаменте устанавливаются следующие процедуры:

- назначение ответственного за организацию обработки персональных данных;

- определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Департаменте и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;

- опубликование в государственной специализированной информационной системе "Портал Орловской области - публичный информационный центр" в сети Интернет правовых актов Орловской области, определяющих политику Департамента в отношении обработки персональных данных, реализуемые требования к защите персональных данных;

- осуществление внутреннего контроля соответствия обработки персональных данных требованиям Федерального закона 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятых в соответствии с ним правовых актов Российской Федерации и Орловской области, а также требованиям к защите персональных данных.

II. Правила обработки персональных данных субъектов персональных данных, осуществляемой без использования средств автоматизации

21. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

22. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

23. Документы должны храниться в надежно запираемых шкафах и сейфах.

24. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

25. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

26. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости использования или предоставления определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих предоставлению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих предоставлению и использованию, и используется (предоставляется) копия персональных данных;

2) при необходимости уничтожения части персональных данных уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.

27. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

28. Требования, предусмотренные пунктами 26 и 27 настоящих Правил, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

29. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

III. Правила обработки персональных данных субъектов персональных данных с использованием средств автоматизации

30. Обработка персональных данных в Департаменте с использованием средств автоматизации предполагает обработку персональных данных субъектов персональных данных, указанных в пункте 4 Правил, с использованием компьютерной техники, а также информационной системы - локальная вычислительная сеть Департамента.

31. Специализированные информационные системы персональных данных в Департаменте для обработки персональных данных не используются.

32. Безопасность персональных данных, обрабатываемых в Департаменте с использованием средств автоматизации, обеспечивается структурным подразделением Администрации Губернатора и Правительства Орловской области, уполномоченным в сфере обеспечения информационной безопасности в органах исполнительной государственной власти специальной компетенции Орловской области в соответствии с Указом Губернатора Орловской области от 21 марта 2016 года N 129 "Об утверждении Положения об Администрации Губернатора и Правительства Орловской области, ее структуры и штатного расписания" (далее - уполномоченное структурное подразделение Администрации Губернатора и Правительства Орловской области).

33. Ведение учета материальных носителей персональных данных в Департаменте организует и контролирует лицо, ответственное за организацию обработки персональных данных в Департаменте.

34. Сотрудники Департамента, указанные в пункте 9 Правил, и осуществляющие обработку персональных данных с использованием средств автоматизации несут персональную ответственность за свои действия.

35. Сотрудники Департамента, указанные в пункте 9 Правил, и осуществляющие обработку персональных данных с использованием средств автоматизации, при работе с персональными данными должны соблюдать следующие правила:

1) соблюдать положения нормативных правовых актов Российской Федерации и Орловской области при обработке персональных данных субъектов персональных данных;

2) выполнять на автоматизированном рабочем месте только те работы, которые необходимы для исполнения их должностных обязанностей;

3) соблюдать конфиденциальность при обработке персональных данных;

4) передавать съемные носители с персональными данными только после оформления в установленном порядке фактов передачи;

5) копировать сведения о персональных данных только на учтенные съемные носители;

6) прекращать обработку персональных данных в присутствии посторонних лиц;

7) исключать возможность ознакомления посторонних лиц с паролем;

8) соблюдать требования антивирусной защиты;

9) располагать во время работы экран монитора таким образом, чтобы была исключена возможность несанкционированного ознакомления с отображаемыми на нем персональными данными посторонними лицами;

10) не устанавливать и не модифицировать программное и аппаратное обеспечение автоматизированных рабочих мест;

11) подключать к автоматизированным рабочим местам только учтенные съемные носители;

12) для производства ремонтных, настроечных работ на автоматизированных рабочих местах допускать специалистов, уполномоченных на проведение таких работ, после согласования лицом, ответственным за организацию обработки персональных данных в Департаменте;

13) присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленного за ним автоматизированного рабочего места;

14) при перерывах в работе активизировать временную блокировку экрана и клавиатуры.".