Приложение 1. Правила обработки персональных данных в Министерстве образования и науки Республики Северная Осетия-Алания. Приказ Министерства образования и науки Республики Северная Осетия-Алания от 21.06.2016 N 485 "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных", в Министерстве образования и науки Республики Северная Осетия-Алания" (документ утратил силу)

Приложение 1

к приказу Министерства образования и науки

Республики Северная Осетия-Алания

от 21 июня 2016 г. N 485

Правила
обработки персональных данных в Министерстве образования и науки Республики Северная Осетия-Алания

1. Общие положения

1.1. Настоящие Правила обработки персональных данных в Министерстве образования и науки Республики Северная Осетия-Алания (далее - Правила) разработаны на основании требований Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.2. Обработка персональных данных должна осуществляться на законной и справедливой основе.

1.3. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

1.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

1.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

1.6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

1.7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

1.8. Понятия и определения.

В настоящих Правилах используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор - Министерство образования и науки Республики Северная Осетия-Алания (далее - Министерство) или уполномоченный сотрудник в Министерстве, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность персональных данных - обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

доступ к информации - возможность получения информации и ее использования;

обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;

базой данных является представленная в объективной форме совокупность самостоятельных материалов, систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ);

Иные понятия в настоящих Правилах используются в значениях, определенных действующим законодательством Российской Федерации либо их значение дается по тексту.

2. Процедуры, направленные на выявление и предотвращение нарушений, предусмотренных законодательством в сфере персональных данных

2.1. К процедурам, направленным на предотвращение и выявление нарушений законодательства в отношении обработки персональных данных и устранение таких последствий относятся:

1) осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон) и принятым в соответствии с ним нормативным правовым актам;

2) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;

3) ознакомление сотрудников в Министерстве, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2.2. Обеспечение безопасности персональных данных достигается, в частности:

определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

учетом машинных носителей персональных данных;

обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

3. Цели обработки персональных данных, категории субъектов персональных данных, состав персональных данных

3.1. Целями обработки персональных данных являются:

реализация служебных или трудовых отношений в соответствии с законодательством;

оказание государственных услуг в соответствии с законодательством;

осуществление государственных функций в соответствии с законодательством.

3.2. Категории субъектов.

3.2.1. Субъектами, персональные данные которых обрабатываются в связи с реализацией служебных или трудовых отношений, являются:

лица, замещающие государственные должности и должности государственной гражданской службы в Министерстве;

работники Министерства, не являющиеся государственными служащими;

руководители подведомственных Министерству организаций;

граждане, включенные в кадровый резерв Министерства;

граждане, принявшие участие в конкурсах на замещение должности в Министерстве;

граждане, не допущенные к участию в конкурсах на замещение должности в Министерстве.

3.2.2. Субъектами, персональные данные которых обрабатываются в связи с реализацией государственных услуг, являются:

граждане (заявители), направившие обращение в Министерство для получения лицензии на образовательную деятельность;

граждане (заявители), направившие обращение в Министерство для получения подтверждения документов об образовании (апостиля);

граждане, подавшие заявление на постановку в очередь своих детей или подопечных в образовательные организации, реализующие образовательные программы дошкольного образования (далее - дошкольные образовательные организации);

граждане, являющиеся очередниками в дошкольные образовательные организации;

граждане, подавшие заявление на зачисление своих детей или подопечных в образовательные организации, реализующие образовательные программы начального общего, основного общего и среднего общего образования (далее - общеобразовательные организации);

граждане, записанные на зачисление в общеобразовательные организации;

граждане, подавшие заявление на зачисление своих детей или подопечных в образовательные организации, реализующие дополнительные общеобразовательные программы (далее - организации дополнительного образования);

граждане, записанные на зачисление в организации дополнительного образования;

граждане, подавшие заявление на зачисление своих детей или подопечных в образовательные организации, реализующие образовательные программы среднего профессионального образования (далее - организации СПО);

граждане, записанные на зачисление в организации СПО.

3.2.3. Субъектами, персональные данные которых обрабатываются в связи с осуществлением государственных функций, являются:

граждане, направившие обращения в Министерство;

граждане, представленные к наградам, почетным званиям и др.;

граждане, являющиеся обучающимися, воспитанниками и работниками образовательных организаций, данные которых обрабатываются в связи с осуществлением Министерством переданных Российской Федерацией полномочий по государственному контролю (надзору) в сфере образования;

граждане, претендующие на право получения государственной поддержки в форме субсидии в сфере научной, научно-технической и инновационной деятельности;

граждане, обучающиеся в организациях СПО, кандидаты на получение стипендии Правительства Российской Федерации;

граждане, обучающиеся в организациях СПО, являющиеся участниками олимпиад, конкурсов;

граждане, обучающиеся в организациях СПО, относящиеся к категории детей сирот и детей, оставшихся без попечения родителей, детей-инвалидов, инвалидов I и II групп;

граждане, получившие документ об образовании в организациях СПО;

граждане, являющиеся педагогическими работниками образовательных организаций, подавшие документы на прохождение аттестации для установления соответствия квалификационной категории;

граждане, являющиеся родителями или опекунами воспитанников дошкольных образовательных организаций;

граждане, являющиеся воспитанниками дошкольных образовательных организаций;

граждане, являющиеся родителями или опекунами обучающихся общеобразовательных организаций;

граждане, обучающиеся в общеобразовательных организациях, являющиеся участниками всероссийской Олимпиады школьников;

граждане, являющиеся работниками образовательных организаций, привлекаемые к проведению всероссийской Олимпиады школьников;

граждане, являющиеся педагогическими работниками образовательных организаций, участвующие в профессиональных конкурсах;

граждане, являющиеся участниками государственной итоговой аттестации по образовательным программам основного общего и среднего общего образования (ОГЭ, ЕГЭ);

граждане, являющиеся работниками образовательных организаций, привлекаемые для проведения государственной итоговой аттестации по образовательным программам основного общего и среднего общего образования (ОГЭ, ЕГЭ);

граждане, относящиеся к категории детей-инвалидов, нуждающиеся в индивидуальных программах реабилитации или абилитации;

граждане, являющиеся обучающимися организаций дополнительного образования, участвующие в международных, всероссийских, региональных мероприятиях различной направленности.

3.3. Перечни персональных данных, обрабатываемых в связи с реализацией служебных или трудовых отношений, оказанием государственных услуг и осуществлением государственных функций, указаны в приложении к Правилам.

4. Порядок обработки персональных данных субъектов персональных данных, осуществляемой с использованием средств автоматизации

4.1. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

4.2. Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.

4.3. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

4.4. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.

4.5. Доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных должен требовать обязательного прохождения процедуры идентификации и аутентификации.

4.6. Структурными подразделениями (должностными лицами), ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:

а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства;

б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

г) постоянный контроль за обеспечением уровня защищенности персональных данных;

д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

4.7. В случае выявления нарушений порядка обработки персональных данных в информационных системах уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.

5. Порядок обработки персональных данных субъектов персональных данных, осуществляемой без использования средств автоматизации

5.1. Обработка персональных данных без использования средств автоматизации уполномоченным должностным лицом осуществляется на материальных (бумажных) носителях персональных данных для целей, указанных в п. 3.1. настоящих Правил.

5.2. При разработке и использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональным данным иных лиц, содержащимся в указанной типовой форме;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

5.3. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

5.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

6. Порядок обработки персональных данных государственных служащих и работников Министерства

6.1. Обработка персональных данных государственных служащих и работников Министерства (далее - служащие) осуществляется с их письменного согласия, которое действует со дня их поступления на государственную службу на время прохождения государственной службы.

6.2. Лицо, уполномоченное на обработку персональных данных служащих в связи с реализацией служебных или трудовых отношений, (далее - специалист) обеспечивает защиту персональных данных служащих, содержащихся в личных делах, от неправомерного их использования или утраты.

6.3. Обработка персональных данных служащих может осуществляться как с использованием средств автоматизации, так и без использования таких средств.

6.4. При обработке персональных данных служащих специалист обязан соблюдать следующие требования:

а) объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;

б) защита персональных данных служащего от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;

в) передача персональных данных служащего не допускается без письменного согласия служащего, за исключением случаев, установленных федеральными законами. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных служащего, либо отсутствует письменное согласие служащего на передачу его персональных данных, специалист вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;

г) обеспечение конфиденциальности персональных данных служащих, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

д) хранение персональных данных должно осуществляться в форме, позволяющей определить служащего и иное лицо, являющееся субъектом персональных данных, не дольше, чем этого требуют цели их обработки.

Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения персональных данных оформляется соответствующим актом;

е) опубликование и распространение персональных данных служащих допускается в случаях, установленных законодательством Российской Федерации.

6.5. В целях обеспечения защиты персональных данных служащие вправе:

а) получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом;

в) требовать внесения необходимых изменений, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

г) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.

7. Сроки обработки и хранения персональных данных, порядок их уничтожения при достижении целей обработки или при наступлении иных законных оснований

7.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7.2. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7.3. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом или другими федеральными законами.

7.4. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

7.5. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.