Приложение N 1. Правила обработки персональных данных в Министерстве труда и социальной защиты Калужской области. Приказ Министерства труда и социальной защиты Калужской области от 10.11.2016 N 1541-П "Об организации работы с персональными данными в министерстве труда и социальной защиты Калужской области" (с изменениями и дополнениями)

Приложение N 1
к приказу
Министерства
труда и социальной защиты
Калужской области
от 10 ноября 2016 г. N 1541-П

Правила
обработки персональных данных в Министерстве труда и социальной защиты Калужской области

1. Общие положения

1.1. Правила обработки персональных данных в министерстве труда и социальной защиты Калужской области (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Правила определяют политику министерства труда и социальной защиты Калужской области (далее - министерство) как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.3. Обработка персональных данных в министерстве осуществляется с соблюдением принципов и условий, предусмотренных Правилами и законодательством Российской Федерации в области персональных данных.

1.4. Термины и понятия, используемые в Правилах, применяются в значениях, определенных в Федеральным законом "О персональных данных".

1.5. Министерство при осуществлении обработки персональных данных берет на себя обязательство не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.6. Министерство не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

1.7. Осуществление трансграничной передачи персональных данных министерством не осуществляется.

2. Цели обработки и условия прекращения обработки персональных данных

2.1. Обработка персональных данных осуществляется в целях реализации функций и осуществления полномочий, возложенных на министерство в случаях, установленных федеральным законом.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается обработка персональных данных категорий субъектов, не соответствующих заявленным целям обработки персональных данных.

2.2. Условиями прекращения обработки персональных данных в министерстве являются:

- прекращение служебного контракта (трудового договора) с субъектом персональных данных;

- изменение нормативной правовой базы, на основании которой ведется обработка персональных данных;

- другие причины, предусмотренные действующим законодательством.

3. Категории субъектов, персональные данные которых обрабатываются в министерстве

3.1. В министерстве обрабатываются персональные данные следующих категорий субъектов персональных данных:

1) государственные гражданские служащие министерства и работники, состоящие в трудовых отношениях с министерством, лица, замещающие должности руководителей подведомственных министерству учреждений;

2) члены семей государственных гражданских служащих и руководителей подведомственных министерству учреждений;

3) граждан, претендующих на замещение должностей в министерстве, в том числе находящихся в кадровом резерве, граждан, претендующих на замещение должностей руководителей подведомственных министерству учреждений (далее - претенденты);

4) физические лица, состоящие в гражданско-правовых отношениях с министерством;

5) кандидаты на награждение;

6) физические лица (субъекты), обращающиеся в министерство с предложениями, заявлениями и жалобами, а также с устными обращениями, требующими рассмотрения и ответа в установленном порядке;

7) физические лица (субъекты), обращающиеся в министерство за оказанием государственных услуг.

4. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

4.1. Осуществление хранения персональных данных (документов, содержащих персональные данные, а также других материальных носителей персональных данных) в специально оборудованных шкафах или сейфах, которые запираются на ключ.

4.2. Реализация разрешительной системы допуска к работе в информационных системах персональных данных, включающей в себя перечень лиц, имеющих самостоятельный доступ, перечень защищаемых информационных ресурсов и матрицу разграничения доступа к защищаемым ресурсам.

4.3. Внесение требований об обеспечении конфиденциальности в заключаемые договорные взаимоотношения, в рамках которых выполняется передача персональных данных третьей стороне.

4.4. Соблюдение порядка получения и передачи персональных данных.

4.4.1. Условием обработки персональных данных субъекта персональных данных является его письменное согласие. Согласия субъекта на обработку его персональных данных не требуется в случаях, предусмотренных Федеральных законом "О персональных данных".

4.4.2. Письменное согласие субъекта персональных данных на получение его персональных данных у третьей стороны оформляется согласно установленной форме (приложение N 1 к Правилам). Обязанность по получению от субъекта персональных данных письменного согласия возлагается на сотрудника министерства, осуществляющего получение персональных данных.

4.4.3. Отзыв субъектом персональных данных согласия на обработку его персональных данных оформляется согласно установленной форме (приложение N 2 к Правилам).

4.4.4. Передача персональных данных возможна при наличии письменного согласия субъекта персональных данных на передачу его персональных данных третьей стороне (приложение N 3 к Правилам). Исключения составляют случаи, предусмотренные Федеральным законом "О персональных данных". Обязанность по получению письменного согласия субъекта персональных данных на передачу его персональных данных третьей стороне возлагается на сотрудника министерства, осуществляющего передачу персональных данных третьей стороне. Факт передачи персональных данных третьей стороне должен фиксироваться в журнале учета передачи персональных данных министерства (приложение N 4 к Правилам). Журнал учета передачи персональных данных министерства ведется подразделениями министерства самостоятельно.

4.5. Назначение лица, ответственного за организацию обработки персональных данных в министерстве.

4.6. Соблюдение порядка доступа к обработке персональных данных.

4.6.1. Ознакомление сотрудников министерства, допущенных к обработке персональных данных, с Правилами и другими локальными нормативными актами министерства в сфере обработки и защиты персональных данных. Журнал ознакомления сотрудников министерства с нормативными правовыми актами в сфере обработки и защиты персональных данных (приложение N 5 к Правилам) ведется лицом, ответственным за организацию обработки персональных данных.

4.6.2. Не допускается осуществление обработки персональных данных сотрудниками министерства, не подписавшими обязательство о неразглашении информации, содержащей персональные данные (приложение N 6 к Правилам), и в чьи должностные регламенты не включен пункт об ответственности за разглашение персональных данных.

4.6.3. Доступ к обработке персональных данных в информационной системе персональных данных осуществляется путем подачи должностному лицу (работнику), ответственному за обеспечение безопасности персональных данных в информационной системе, заявки, согласованной с министром труда и социальной защиты Калужской области (далее - министр). В заявке указываются: фамилия, имя, отчество сотрудника, которому требуется доступ к информационной системе персональных данных; должность сотрудника; инвентарный номер и местоположение персонального компьютера; требуемые информационные ресурсы. Должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе, готовит предложения по осуществлению технических мер защиты персональных данных и организует их реализацию.

4.7. Соблюдение правил обработки персональных данных в информационных системах персональных данных.

4.7.1. Администратор информационной системы персональных данных министерства действует согласно инструкции по выполнению функций администратора информационной системы персональных данных министерства труда и социальной защиты Калужской области (приложение N 7 к Правилам).

4.7.2. Должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе, действует согласно инструкции по выполнению функций по обеспечению безопасности персональных данных в информационных системах персональных данных министерства (приложение N 8 к Правилам).

4.7.3. Работы по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных являются неотъемлемой частью работ по созданию информационной системы персональных данных. Ввод в эксплуатацию информационных систем персональных данных без системы защиты запрещен.

4.7.4. Периодичность и порядок резервирования обрабатываемой информации в информационной системе персональных данных определяется администратором информационной системы персональных данных по согласованию с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных в информационных системах. Материальные носители данных, на которые осуществляется резервирование информации, должны быть учтены и храниться в порядке, установленном Правилами.

4.7.5. Неизменность технических и программных средств обеспечивается с помощью технического паспорта на информационную систему персональных данных. Ведение технического паспорта информационной системы персональных данных возлагается на должностное лицо (работника), ответственное за обеспечение безопасности персональных данных в информационных системах.

4.7.6. Запрещается установка программного обеспечения, предоставляющего доступ к информационной системе персональных данных, на автоматизированные рабочие места без требуемых средств защиты, которые определены в техническом паспорте информационной системы персональных данных.

4.8. Учет машинных носителей персональных данных.

4.8.1. В информационных системах персональных данных министерства допускается использование только учтенных машинных носителей персональных данных.

4.8.2. Учет машинных носителей персональных данных, предназначенных для записи персональных данных, производится должностным лицом (работником), ответственным за обеспечение безопасности персональных данных в информационных системах министерства, в журнале учета и выдачи машинных носителей персональных данных министерства (приложение N 9 к Правилам). На машинном носителе персональных данных проставляется пометка "для служебного пользования" и регистрационный номер в журнале учета и выдачи машинных носителей персональных данных.

4.8.3. Вынос машинных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения министра.

4.8.4. В случае утраты или уничтожения машинных носителей персональных данных либо разглашения содержащихся в них сведений немедленно ставится в известность руководитель соответствующего подразделения министерства. На утраченные машинные носители персональных данных составляется акт. Отметка об утрате машинного носителя персональных данных проставляется в журнале учета и выдачи машинных носителей персональных данных. Акт утраты машинного носителя персональных данных хранится вместе с журналом учета и выдачи машинных носителей персональных данных.

4.8.5. Машинные носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. Уничтожение машинных носителей персональных данных, предназначенных для записи персональных данных, оформляется актом уничтожения машинных носителей персональных данных (приложение N 10 к Правилам) комиссией, созданной на основании приказа министерства. Отметка об уничтожении машинного носителя проставляется в журнале учета и выдачи машинных носителей персональных данных. Акт уничтожения машинных носителей персональных данных хранится вместе с журналом учета и выдачи машинных носителей персональных данных.

4.9. Учет применяемых средств защиты информации.

4.9.1. Должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационных системах министерства, ведет учет применяемых средств защиты информации в журнале учета сертифицированных средств защиты информации, эксплуатационной и технической документации к ним министерства (приложение N 11 к Правилам) и в журнале учета средств криптографической защиты информации, эксплуатационной и технической документации к ним министерства (приложение N 12 к Правилам).

4.10. Исполнение сотрудниками министерства своих обязанностей, направленных на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных.

4.10.1. Сотрудники министерства обязаны выполнять требования, установленные законодательством Российской Федерации в области персональных данных и Правилами.

4.10.2. Подразделение министерства в порядке, указанном Правилами, определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

4.10.3. По запросу лица, ответственного за организацию обработки персональных данных, руководители подразделений министерства предоставляют информацию об обработке персональных данных, осуществляемой без использования средств автоматизации, и при обработке в информационных системах персональных данных. О произошедших изменениях предоставляемой информации, касающейся обработки персональных данных, руководители подразделений министерства сообщают лицу, ответственному за организацию обработки персональных данных.

4.10.4. Руководители подразделений министерства, а также лицо, ответственное за организацию обработки персональных данных в министерстве, имеют право проводить внутренний контроль соответствия обработки персональных данных в министерстве требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными нормативными актами министерства. Руководители подразделений министерства проводят внутренний контроль в подчиненном подразделении.

4.10.5. Исполнение сотрудниками министерства положений руководства пользователя информационной системы персональных данных министерства труда и социальной защиты Калужской области (приложение N 13 к Правилам).

4.11. Соблюдение правил разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.

4.11.1. В случаях: отказа субъекта персональных данных предоставить согласие на обработку его персональных данных; отказа субъекта персональных данных на получение его персональных данных у третьей стороны; отказа на передачу персональных данных третьей стороне; отзыва субъектом персональных данных ранее данного им согласия (далее - случаи отказа субъекта персональных данных предоставить свои персональные данные) субъекту персональных данных должны быть разъяснены юридические последствия указанного отказа по типовой форме (приложение N 12 к настоящему приказу).

4.11.2. В случае отказа субъекта персональных данных в предоставлении своих персональных данных субъекту персональных данных сообщается следующее:

а) цель обработки персональных данных;

б) нормативные правовые акты, на основании которых собираются и обрабатываются его персональные данные;

в) выполнение министерством при обработке персональных данных необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

г) виды юридической ответственности, предусмотренной в отношении лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных;

д) разъяснения юридических последствий отказа субъектом персональных данных предоставить свои персональные данные либо отзыва субъектом персональных данных согласия на обработку его персональных данных.

4.11.3. Оформление отказа субъекта персональных данных предоставить свои персональные данные.

4.11.3.1. Заявление субъекта персональных данных об отказе предоставить министерству свои персональные данные может быть подано согласно установленной форме (приложение N 14 к Правилам).

4.11.3.2. Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные заполняется сотрудником министерства, осуществляющим разъяснение субъекту персональных данных юридических последствий отказа субъектом персональных данных предоставить свои персональные данные. Разъяснение субъекту персональных данных юридических последствий отказа субъекта персональных данных в предоставлении своих персональных данных осуществляют сотрудники подразделений министерства, ответственные за обработку персональных данных. В качестве оснований обработки персональных данных указываются конкретные статьи нормативных правовых актов, на основании которых собираются и обрабатываются персональные данные субъекта персональных данных. Юридическими последствиями отказа субъекта персональных данных в предоставлении своих персональных данных указываются юридические последствия, возникающие в соответствии с нормативными правовыми актами, на основании которых собираются и обрабатываются персональные данные субъекта персональных данных.