Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Комитета информационных технологий и телекоммуникаций Вологодской области от 26 сентября 2014 г. N 133-О "О реализации отдельных мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" (с изменениями и дополнениями)
- Приложение 1. Положение об обработке и защите персональных данных в Комитете информационных технологий и телекоммуникаций области
Приложение 1. Положение об обработке и защите персональных данных в Комитете информационных технологий и телекоммуникаций области
Информация об изменениях:
Приказом Комитета информационных технологий и телекоммуникаций Вологодской области от 10 августа 2016 г. N 89-о настоящее приложение изложено в новой редакции
Утверждено
приказом Комитета
информационных технологий и
телекоммуникаций области
от 10 августа 2016 г. N 89-о
(приложение 1)
Положение
об обработке и защите персональных данных в Комитете информационных технологий и телекоммуникаций области
(далее - Положение)
С изменениями и дополнениями от:
19 мая, 10 августа 2016 г.
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2006 г. N 152-ФЗ "О персональных данных", от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", от 6 декабря 2011 г. N 402-ФЗ "О бухгалтерском учете", Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Указами Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", от 7 сентября 2010 г. N 1099 "О мерах по совершенствованию государственной наградной системы Российской Федерации", постановлениями Правительства Российской Федерации от 27 ноября 2006 г. N 719 "Об утверждении Положения о воинском учете", от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Губернатора области от 22 мая 2007 г. N 164 "Об утверждении положения о представлении лицом, замещающим государственную должность области (гражданином при решении вопроса о назначении на государственную должность области), должность государственной гражданской службы области (кандидатом на замещение должности государственной гражданской службы области), сведений о доходах, об имуществе и обязательствах имущественного характера, а также сведений о доходах, об имуществе и обязательствах имущественного характера своих супруга (супруги) и несовершеннолетних детей".
1.2. Положение определяет правила обработки персональных данных в Комитете информационных технологий и телекоммуникаций области (далее - Комитет) и меры по обеспечению безопасности персональных данных.
1.3. В настоящем Положении используются понятия, применяемые в значениях, определенных в Федеральном законе от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").
1.4. В Комитете обрабатываются персональные данные лиц, претендующих на замещение должностей государственной гражданской службы в Комитете, лиц, замещающих данные должности, а также иных физических лиц, персональные данные которых представлены в Комитет (далее - субъекты персональных данных).
Перечень персональных данных, обрабатываемых в связи с реализацией служебных (трудовых) отношений, а также в связи с осуществлением государственных функций и оказанием государственных услуг в Комитете информационных технологий и телекоммуникаций области утверждается приказом Комитета информационных технологий и телекоммуникаций области.
1.5. Обработка персональных данных в Комитете осуществляется в целях реализации возложенных на Комитет полномочий, определяемых федеральными законами, Положением о Комитете, иными нормативными правовыми актами.
1.6. Персональные данные субъектов персональных данных являются сведениями конфиденциального характера (за исключением случаев, установленных федеральными законами), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениями, составляющими государственную тайну.
1.7. Комитет является оператором, организующим и осуществляющим обработку персональных данных. Функции оператора возлагаются на лиц, замещающих должности государственной гражданской службы в Комитете, в соответствии с Перечнем должностей в Комитете информационных технологий и телекоммуникаций области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (далее - Перечень должностей Комитета), утвержденным приказом Комитета информационных технологий и телекоммуникаций области, а также служебными контрактами, заключаемыми с такими лицами, и их должностными регламентами.
1.8. Оператор (должностные лица, осуществляющие обработку персональных данных) при обработке персональных данных обладает полномочиями и исполняет обязанности, установленные Федеральным законом "О персональных данных", Трудовым кодексом Российской Федерации, настоящим Положением и иными федеральными и областными нормативными правовыми актами.
1.9. Должностные лица Комитета, замещающие должности, включенные в Перечень должностей Комитета и осуществляющие обработку персональных данных, в обязательном порядке под роспись знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Положением, локальными актами оператора по вопросам обработки персональных данных и документами, устанавливающими обязанности данных лиц по соблюдению требования конфиденциальности и безопасности персональных данных.
1.10. В случае попытки какого-либо лица получить от должностных лиц Комитета, замещающих должности, включенные в Перечень должностей Комитета и осуществляющих обработку персональных данных, сведения, являющиеся персональными данными, а также о причинах и условиях возможной утечки этих данных указанные лица обязаны немедленно проинформировать об этом председателя Комитета.
2. Порядок обработки персональных данных субъектов персональных данных
2.1. Определение объема, содержания и способа обработки персональных данных осуществляется в соответствии с заявленными целями и правовым основанием, определяющим их получение.
2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иное не предусмотрено сроком действия договора с субъектом персональных данных, сроком исковой давности, приказом Минкультуры Российской Федерации от 25 августа 2010 г. N 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", иными нормативными правовыми актами. По достижении целей обработки персональных данных или в случае утраты необходимости в их достижении, а также по истечении срока хранения персональные данные подлежат уничтожению.
2.3. При обработке персональных данных лиц, претендующих на замещение должностей государственной гражданской службы в Комитете, лиц, замещающих данные должности, соблюдаются требования, установленные статьей 86 Трудового кодекса Российской Федерации, пунктом 5 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 г. N 609, и иными федеральными нормативными правовыми актами.
2.3.1. Персональные данные в течение периода прохождения государственной гражданской службы обрабатываются консультантом Комитета, уполномоченного на осуществление кадрового сопровождения деятельности Комитета, работниками государственного казенного учреждения Вологодской области "Областное казначейство" (далее - ПСУ ВО "Областное казначейство"),
2.3.2. После прекращения служебного контракта (трудового договора) и освобождения лица от замещаемой должности его персональные данные, содержащиеся:
- на бумажных носителях, - хранятся у консультанта Комитета, уполномоченного на осуществление кадрового сопровождения деятельности Комитета, - пять лет, после чего передаются в архив Комитета;
- на бумажных носителях, - хранятся в ГКУ ВО "Областное казначейство" в течение срока, установленного законодательством и утвержденной в ГКУ ВО "Областное казначейство" номенклатурой дел;
- в информационных системах персональных данных, - в ГКУ ВО "Областное казначейство" в течение пяти лет, после чего подлежат уничтожению.
2.3.3. Персональные данные лиц, претендующих на замещение должностей государственной гражданской службы в Комитете, хранятся у консультанта Комитета, уполномоченного на осуществление кадрового сопровождения деятельности Комитета, в течение трех лет со дня их получения, после чего подлежат уничтожению.
2.3.4. Персональные данные граждан, не допущенных к участию в конкурсе на замещение вакантных должностей государственной гражданской службы в Комитете и в конкурсе по формированию кадрового резерва, и граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор, хранятся на бумажных носителях у консультанта Комитета, уполномоченного на осуществление кадрового сопровождения деятельности Комитета, в течение трех лет после проведения конкурса, после чего подлежат уничтожению, если не возвращены по запросам граждан.
2.4. Обработка персональных данных иных физических лиц, представляемых в Комитет, осуществляется в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.
2.4.1. Персональные данные обрабатываются в целях реализации полномочий Комитета, в том числе по рассмотрению обращений физических лиц, подготовке наградных документов и учета граждан, награжденных государственными наградами, наградами Губернатора области, наградами Комитета, исполнению договоров и ведению расчетов с физическими лицами.
2.4.2. Обращения, содержащие персональные данные физических лиц, обрабатываются в Комитете в течение срока рассмотрения обращений. В последующем указанные персональные данные:
- на бумажных носителях, - хранятся в течение пяти лет со дня рассмотрения обращения, после чего проводится экспертиза ценности документов, по результатам которой составляются описи дел постоянного срока хранения и акты о выделении дел к уничтожению. Дела постоянного хранения передаются в архив Комитета;
- в электронном виде, - хранятся в автоматизированной системе электронного документооборота органов исполнительной государственной власти области (модуль "Обращение граждан") в течение пяти лет со дня поступления обращения, после чего подлежат уничтожению.
2.4.3. Персональные данные граждан, связанные с подготовкой наградных документов и учета граждан, награжденных государственными наградами, наградами Губернатора области и наградами Комитета обрабатываются главным специалистом Комитета, уполномоченным на осуществление кадрового сопровождения деятельности Комитета. Бумажные носители, содержащие персональные данные граждан, хранятся в течение пяти лет со дня их получения, после чего передаются для хранения в архив Комитета
2.4.4. Персональные данные, обрабатываемые в целях исполнения договоров и ведения расчетов с физическими лицами, обрабатываются консультантом Комитета, уполномоченным на осуществление контроля за целевым и эффективным расходованием финансовых средств, а также в ПСУ ВО "Областное казначейство" в течение срока действия договора или ведения расчетов с физическими лицами, в последующем хранятся на бумажных носителях и в информационной системе ПСУ ВО "Областное казначейство" в течение пяти лет, после чего подлежат уничтожению.
2.5. В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты персональных данных имеют право на доступ к своим персональным данным, получение информации, касающейся обработки своих персональных данных, и обжалование действий (бездействия) оператора в соответствии с Федеральным законом "О персональных данных", Трудовым кодексом Российской Федерации и иными нормативными правовыми актами.
2.6. При обработке персональных данных, осуществляемой без использования средств автоматизации, оператором выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
2.7. Правила работы с обезличенными данными в Комитете информационных технологий и телекоммуникаций области в случае обезличивания персональных данных и Перечень должностей в Комитете информационных технологий и телекоммуникаций области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных утверждаются приказом Комитета информационных технологий и телекоммуникаций области.
2.8. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание) или путем уничтожения материального носителя. Бумажные носители персональных данных уничтожаются путем сжигания или измельчения до степени, исключающей возможность прочтения текста.
2.9. Уничтожение персональных данных осуществляется комиссией Комитета на основании акта об уничтожении.
2.10. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
2.11. Обработка персональных данных, относящихся к специальным категориям персональных данных, в Комитете не осуществляется.
2.12. Обработка биометрических персональных данных в Комитете не осуществляется.
2.13. Трансграничная передача персональных данных на территорию иностранных государств не осуществляется.
3. Меры по обеспечению безопасности персональных данных
3.1. Безопасность персональных данных достигается путем исключения неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, распространения, предоставления, а также от иных неправомерных действий в отношении их.
3.2. Персональные данные субъектов персональных данных в Комитете обрабатываются на бумажных и электронных носителях в специально предназначенных для этого помещениях, занимаемых должностными лицами, замещающими должности, включенные в Перечень должностей Комитета.
3.3. Обеспечение безопасности персональных данных при их обработке достигается путем принятия необходимых организационных и технических мер для их защиты, установленных статьей 19 Федерального закона "О персональных данных", Перечнем мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами, утвержденным постановлением Правительства Российской Федерации от 21 марта 2012 года N 211, разделом III Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687, а также иными нормативными правовыми актами. К организационным и техническим мерам защиты персональных данных относятся в том числе:
- определение мест хранения материальных носителей, содержащих персональные данные, соблюдение условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ;
- организация порядка уничтожения информации, содержащей персональные данные;
- обеспечение целостности программных средств информационной системы персональных данных, обрабатываемой информации, а также неизменности программной среды;
- соблюдение пользователями условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- соблюдение пользователями порядка реагирования на инциденты и восстановления работоспособности информационных систем.
3.4. Не допускается обработка персональных данных в информационных системах персональных данных при отсутствии:
- утвержденных организационно-технических документов, установленных нормативными правовыми актами в области защиты информации;
- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации, установленными Правительством Российской Федерации, ФСТЭК России, ФСБ России.
4. Доступ к персональным данным
4.1. Доступ ко всем персональным данным, обрабатываемым в Комитете, имеют лица, замещающие должности:
- председателя Комитета;
- заместителя председателя Комитета;
- консультанта Комитета, уполномоченного на осуществление правового сопровождения деятельности Комитета (за исключением реализации полномочия по развитию информационного общества и формированию электронного правительства в области);
- консультанта Комитета, уполномоченного на осуществление контроля за целевым и эффективным расходованием финансовых средств;
- главного специалиста Комитета, уполномоченного на осуществление кадрового сопровождения деятельности Комитета;
- ведущего специалиста Комитета, уполномоченного на осуществление работы по организационно-техническому обеспечению деятельности председателя Комитета.
4.2. Доступ к персональным данным претендентов на замещение должностей государственной гражданский службы в Комитете имеют:
1) лица, замещающие должности:
- председателя Комитета;
- заместителя председателя Комитета;
- консультанта Комитета, уполномоченного на осуществление правового сопровождения деятельности Комитета (за исключением реализации полномочия по развитию информационного общества и формированию электронного правительства в области);
- главного специалиста Комитета, уполномоченного на осуществление кадрового сопровождения деятельности Комитета;
2) лица, входящие в состав конкурсной комиссии, в отношении претендентов, участвующих в конкурсе на замещение вакантных должностей государственной гражданской службы в Комитете и в конкурсе по формированию кадрового резерва.
4.3. Доступ к персональным данным лиц, замещающих должности государственной гражданской службы в Комитете, имеют:
1) лица, замещающие должности:
- председателя Комитета;
- заместителя председателя Комитета;
- консультанта Комитета, уполномоченного на осуществление правового сопровождения деятельности Комитета (за исключением реализации полномочия по развитию информационного общества и формированию электронного правительства в области);
- консультанта Комитета, уполномоченного на осуществление контроля за целевым и эффективным расходованием финансовых средств;
- главного специалиста Комитета, уполномоченного на осуществление кадрового сопровождения деятельности Комитета;
- ведущего специалиста Комитета, уполномоченного на осуществление работы по организационно-техническому обеспечению деятельности председателя Комитета;
2) лица, входящие в состав аттестационной комиссии, комиссии по соблюдению требований к служебному поведению и урегулированию конфликта интересов, иных комиссий, образуемых в соответствии с Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", в отношении рассматриваемых на соответствующих комиссиях персональных данных субъектов персональных данных.
4.4. Доступ к персональным данным иных физических лиц, представляемым в Комитет, имеют лица, замещающие должности:
- председателя Комитета;
- заместителя председателя Комитета;
. - консультанта Комитета, уполномоченного на осуществление правового сопровождения деятельности Комитета (за исключением реализации полномочия по развитию информационного общества и формированию электронного правительства в области);
- консультанта Комитета, уполномоченного на осуществление контроля за целевым и эффективным расходованием финансовых средств;
- главного специалиста Комитета, уполномоченного на осуществление кадрового сопровождения деятельности Комитета;
- ведущего специалиста Комитета, уполномоченного на осуществление работы по организационно-техническому обеспечению деятельности председателя Комитета;
- государственные гражданские служащие Комитета, на которых возложены функции по рассмотрению обращений граждан в соответствии с нормативными правовыми актами Губернатора области и Правительства области, должностными регламентами.
4.5. Доступ к информационным системам персональных данных и электронным носителям, на которых хранятся персональные данные, имеют также уполномоченные лица:
- бюджетного учреждения в сфере информационных технологий Вологодской области "Центр информационных технологий" - с целью сопровождения, администрирования и технической поддержки инфраструктуры информационных систем персональных данных;
- ГКУ ВО "Областное казначейство" - с целью ведения бюджетного (бухгалтерского) учета и отчетности Комитета информационных технологий и телекоммуникаций области.
Обязательным условием допуска к проведению данных работ является возложение на уполномоченных лиц обязанности обеспечения конфиденциальности персональных данных и безопасности персональных данных при работе с информационными системами персональных данных.
4.6. Персональные данные могут предоставляться в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.
4.7. Предоставление персональных данных субъектов персональных данных осуществляется лицам, которые в соответствии с пунктами 4.1 - 4.4 настоящего Положения имеют право доступа к персональным данным, по их запросу, либо в случае направления им для рассмотрения соответствующих обращении физических лиц, либо для выполнения своих должностных обязанностей по обработке персональных данных.
4.8. Лица, указанные в пунктах 4.1 - 4.4. настоящего Положения, имеют право получать на ознакомление только те персональные данные, которые необходимы для выполнения конкретных функций, поручений, своих должностных обязанностей.
4.9. В случае обращения с запросом лица, не уполномоченного в соответствии с нормативными правовыми актами на получение персональных данных, либо отсутствия письменного согласия субъекта персональных данных на предоставление его персональных данных третьей стороне, либо отсутствия угрозы жизни и здоровью субъекта персональных данных оператор обязан отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации в течение трех рабочих дней.
4.10. При передаче персональных данных оператор обязан предупредить в установленном порядке лиц, получающих персональные данные субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
4.11. При привлечении по договору к работам по обработке и (или) защите персональных данных сторонних юридических и (или) физических лиц обязательным условием допуска к проведению таких работ является подписание обязательства о неразглашении информации с лицами, проводящими работы.