Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства сельского хозяйства и продовольственных ресурсов Нижегородской области от 23 января 2018 г. N 12 "О мерах по обеспечению выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и иными нормативными правовыми актами" (с изменениями и дополнениями)
- Приложение 1. Правила обработки персональных данных в министерстве сельского хозяйства и продовольственных ресурсов Нижегородской области
Приложение 1. Правила обработки персональных данных в министерстве сельского хозяйства и продовольственных ресурсов Нижегородской области
Приложение 1
Утверждены
приказом министерства
сельского хозяйства
и продовольственных ресурсов
Нижегородской области
от 23 января 2018 г. N 12
Правила
обработки персональных данных в министерстве сельского хозяйства и продовольственных ресурсов Нижегородской области
1. Общие положения
1.1. Настоящие Правила обработки персональных данных в министерстве сельского хозяйства и продовольственных ресурсов Нижегородской области (далее - Правила) разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Настоящие Правила устанавливают:
порядок определения цели обработки персональных данных;
процедуры, определяющие для каждой цели обработки данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются;
сроки обработки и хранения обрабатываемых персональных данных;
порядок обработки, хранения, распространения, блокирования, использования, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований персональных данных в министерстве сельского хозяйства и продовольственных ресурсов Нижегородской области (далее - министерство), осуществляемые с использованием средств автоматизации и без использования средств автоматизации;
процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
1.3. Министерство самостоятельно или совместно с другими лицами (далее - оператор) организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Понятия и определения используются в значениях, определенных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", либо их значение дается по тексту.
1.4. Обработка персональных данных должна:
- осуществляться в соответствии с действующим законодательством,
- ограничиваться достижением конкретных, заранее определенных и законных целей.
1.5. Не допускается:
- обработка персональных данных, не совместимая с целями сбора персональных данных;
- объединение баз данных, содержащих персональные данные, обработка
которых осуществляется в целях, не совместимых между собой.
1.6. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
1.7. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
1.8. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
1.9. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования средств автоматизации.
1.10. Решение об установке информационной системы принимает министр сельского хозяйства и продовольственных ресурсов Нижегородской области.
2. Цели, субъекты, создание, содержание обрабатываемых персональных данных
2.1. Цель обработки персональных данных определяется при создании соответствующей информационной системы либо базы данных. Случаи, в которых допускается обработка персональных данных, предусмотрены Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
2.2. Основными целями обработки персональных данных в министерстве являются осуществление и выполнение возложенных законодательством Российской Федерации, Нижегородской области на министерство функций, полномочий, обязанностей.
2.3. Категории субъектов, персональные данные которых обрабатываются, определяются для каждой цели обработки персональных данных при создании соответствующей информационной системы, базы данных.
2.4. Субъектами, персональные данные которых обрабатываются для указанных в п. 2.2 целей, являются лица, персональные данные которых стали известны в результате реализации функций министерства, гражданские служащие, работники, замещающие должности, не являющиеся должностями государственной гражданской службы министерства, лица, замещающие должности руководителей, подведомственных министерству государственных бюджетных учреждений и граждане, претендующие на замещение вышеназванных должностей.
2.5. К персональным данным относятся:
1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
6) адрес места жительства (адрес регистрации, фактического проживания);
7) номер контактного телефона или сведения о других способах связи;
8) реквизиты страхового свидетельства государственного пенсионного страхования;
9) идентификационный номер налогоплательщика;
10) реквизиты страхового полиса обязательного медицинского страхования;
11) реквизиты свидетельства государственной регистрации актов гражданского состояния;
12) семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
13) сведения о трудовой деятельности;
14) сведения о воинском учете и реквизиты документов воинского учета;
15) сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
16) сведения об ученой степени;
17) информация о владении иностранными языками, степень владения;
18) медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
19) фотография;
20) сведения о прохождении государственной гражданской службы (о работе), в том числе: основание и дата поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы (на работу), основание и дата назначения, перевода, перемещения на иную должность, наименование замещаемых должностей с указанием структурных подразделений, размера денежного содержания (денежного вознаграждения, заработной платы), результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;
21) информация, содержащаяся в служебном контракте, трудовом договоре, дополнительных соглашениях к ним;
22) сведения о пребывании за границей;
23) информация о классном чине государственной гражданской службы Нижегородской области (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине федеральной гражданской службы), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
24) информация о наличии или отсутствии судимости;
25) информация об оформленных допусках к государственной тайне;
26) государственные награды, иные награды и знаки отличия;
27) сведения о профессиональной переподготовке и (или) повышении квалификации;
28) информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания (заработной платы);
29) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
30) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.2 настоящих Правил.
2.6. Объем персональных данных, необходимый для конкретной цели обработки персональных данных, определяется при создании информационной системы, базы данных и должен строго соответствовать цели обработки персональных данных.
2.7. Ответственность за создание базы данных, содержащей персональные данные, цели обработки которой не соответствуют функциям соответствующего структурного подразделения министерства, включение в базу данных субъекта, обработка персональных данных которого не соответствует целям обработки, а также за расширение объема персональных данных по отношению к заявленным целям их обработки несут руководители структурных подразделений министерства.
3. Получение персональных данных
3.1. Субъект персональных данных принимает решение о предоставлении его персональных данных, а в случаях, предусмотренных федеральным законом, дает согласие на обработку своих персональных данных. Субъект персональных данных принимает решение и дает согласие свободно, своей волей и в своем интересе.
Типовые формы согласия на обработку персональных данных сотрудников министерства, иных субъектов персональных данных, разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные утверждаются приказом министерства.
3.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
3.3. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. Типовая форма согласия субъекта на обработку персональных данных подопечного утверждается приказом министерства.
3.4. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни, по установленной министерством типовой форме.
3.5. В случаях, предусмотренных законодательством Российской Федерации, персональные данные могут быть получены от лица, не являющегося субъектом персональных данных (третьего лица).
3.6. Если персональные данные получены не от субъекта персональных данных, должностные лица, ответственные за предоставление (осуществление) соответствующей функции, в случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", до начала обработки таких персональных данных обязаны уведомить субъекта персональных данных.
3.7. В случае отказа субъекта персональных данных предоставить свои персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", лицо, ответственное за предоставление (осуществление) функции, обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
4. Обработка персональных данных
4.1. Обработка персональных данных в министерстве осуществляется гражданскими служащими, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные.
Гражданские служащие, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные, подписывают соглашение о неразглашении персональных данных и обязательство гражданского служащего,
непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в соответствии с типовой формой, утверждаемой приказом министерства.
4.2. Перечень должностей служащих министерства, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, устанавливается приказом министерства
4.3. Все сотрудники, имеющие доступ к персональным данным субъектов, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), настоящими Правилами и иными правовыми актами министерства по вопросам обработки персональных данных. Обязанность ознакомить сотрудников с законодательством и другими правовыми актами, регулирующими порядок работы с персональными данными, возлагается на отдел кадровой политики и государственной гражданской службы министерства.
4.4. Запрещается обработка персональных данных:
- лицами, не допущенными к их обработке;
- под диктовку.
5. Порядок обработки персональных данных с использованием средств автоматизации
5.1. Обработка персональных данных с использованием средств автоматизации осуществляется в соответствии с законодательством Российской Федерации, техническими регламентами, а также правовыми актами министерства о создании, введении в эксплуатацию и инструкцией по эксплуатации соответствующей информационной системы.
5.2. Обработка персональных данных допускается после:
- назначения лица, ответственного за обработку персональных данных в соответствующей информационной системе;
- утверждения перечня должностей гражданских служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным соответствующей информационной системы;
- ознакомления гражданского служащего, осуществляющего обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, другими правовыми актами, регулирующими работу с персональными данными.
5.3. Перечень информационных систем персональных данных утверждается приказом министерства.
5.4. Персональные данные могут быть представлены для ознакомления:
а) гражданским служащим, допущенным к обработке персональных данных с использованием средств автоматизации, в части, касающейся исполнения их должностных обязанностей;
б) уполномоченным работникам министерства в порядке, установленном законодательством Российской Федерации;
в) субъекту персональных данных.
5.5. Гражданскими служащими, ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:
а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства;
б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) постоянный контроль за обеспечением уровня защищенности персональных данных;
д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
5.6. В случае выявления нарушений порядка обработки персональных данных в информационных системах уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.
6. Порядок обработки персональных данных без использования средств автоматизации
6.1. Обработка персональных данных без использования средств автоматизации осуществляется в соответствии с законодательством Российской Федерации, постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", а также правовыми актами министерства.
6.2. Решение о создании информационного ресурса, содержащего персональные данные, в форме журнала или базы данных принимается путем внесения соответствующих документов в номенклатуру дел.
6.3. Обработка персональных данных допускается после:
- назначения лица, ответственного за обработку персональных данных;
- утверждения перечня должностей гражданских служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
- ознакомления гражданского служащего, осуществляющего обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, правовыми актами министерства, регулирующими работу с персональными данными.
6.4. Журналы, содержащие персональные данные, хранятся в закрытых шкафах, исключающих доступ посторонних лиц.
7. Сроки обработки и хранения персональных данных, порядок их уничтожения при достижении целей обработки или при наступлении иных законных оснований
7.1. Сроки обработки персональных данных определяются в соответствии с целью обработки. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки персональных данных, если иное не предусмотрено федеральным законодательством.
7.2. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством.
7.3. Сроки обработки, хранения, уничтожения либо обезличивания персональных данных в информационных системах устанавливаются инструкцией по эксплуатации соответствующей информационной системы.
7.4. Порядок создания, хранения, уничтожения журналов и электронных баз данных, содержащих персональные данные, устанавливается инструкцией по делопроизводству в органах исполнительной власти Нижегородской области и их структурных подразделениях.
7.5. Сроки хранения журналов и электронных баз данных, содержащих персональные данные, устанавливаются номенклатурой дел министерства, утверждаемой в установленном порядке.
7.6. В целях уничтожения обработанных персональных данных приказом министерства создается комиссия. Уничтожение обработанных персональных данных производится комиссией с составлением соответствующего акта.
8. Процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных
К процедурам, направленным на предотвращение и выявление нарушений законодательства в отношении обработки персональных данных и устранение таких последствий, относятся:
1) назначение ответственного за организацию обработки персональных данных в министерстве;
2) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
3) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
4) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации и настоящих Правил, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом;
5) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
6) запрет на обработку персональных данных лицами, не допущенными к их обработке;
7) запрет на обработку персональных данных под диктовку.