Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Министерства финансов Республики Тыва от 22 декабря 2017 г. N 132 о/д "Об утверждении документов, устанавливающих порядок обработки персональных данных, Министерства финансов Республики Тыва" (с изменениями и дополнениями)
- Приложение N 1. Положение об обработке и защите персональных данных в информационной системе персональных данных Министерства финансов Республики Тыва
Приложение N 1. Положение об обработке и защите персональных данных в информационной системе персональных данных Министерства финансов Республики Тыва
Приложение N 1
к приказу Минфина РТ
от 22 декабря 2017 г. N 132о/д
Положение об обработке и защите персональных данных в информационной системе персональных данных Министерства финансов Республики Тыва
1. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет порядок получения, хранения, комбинирования, передачи и любого другого использования персональных данных, обрабатываемых в информационной системе персональных данных Министерства финансов Республики Тыва (далее - министерство) в соответствии с законодательством Российской Федерации.
1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации". Постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства РФ от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Приказом Федеральной службы по техническому и экспортному контролю N 21 от 18 февраля 2013 года "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
1.3. В настоящем Положении используются следующие термины и определения:
- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
- Использование персональных данных - действия с персональными данными, совершаемые работниками и государственными гражданскими служащими Министерства финансов Республики Тыва в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных (далее - субъект ПДн) или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
- Защита персональных данных - деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном субъекте персональных данных.
2. Сбор, обработка и защита персональных данных
2.1. Персональные данные относятся к конфиденциальной информации, порядок работы с ними регламентирован Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и осуществляется с соблюдением строго определенных правил и условий.
2.2. В целях обеспечения прав и свобод человека и гражданина Министерство финансов Республики Тыва при обработке персональных данных обязано соблюдать следующие требования:
2.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
2.1.2. При определении объема и содержания, обрабатываемых персональных данных. Министерство финансов Республики Тыва руководствуется Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и иными федеральными законами.
2.1.3. Все персональные данные следует получать лично у субъекта ПДн. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие, Министерство финансов Республики Тыва должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
2.1.4. Министерство финансов Республики Тыва не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни.
2.1.5. Министерство финансов Республики Тыва не имеет права получать и обрабатывать персональные данные субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
2.1.6. При принятии решений, затрагивающих интересы субъекта персональных данных, Министерство финансов Республики Тыва не имеет права основываться на персональных данных субъекта персональных данных, полученных исключительно в результате их автоматизированной обработки или электронно.
2.1.7. Запрещается требовать от лица предоставляющего персональные данные, документы помимо предусмотренных федеральными законами Российской Федерации, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
2.1.8. Лица получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами Российской Федерации.
2.3. Защита персональных данных субъекта персональных данных от неправомерного их использования или утраты должна быть обеспечена Министерством финансов Республики Тыва за счет ее средств в порядке, установленном федеральными законами Российской Федерации.
2.4. Субъекты персональных данных не должны отказываться от прав на сохранение и защиту своих персональных данных.
2.5. Министерство финансов Республики Тыва субъекты персональных данных и их представители должны совместно вырабатывать меры защиты персональных данных субъектов ПДн.
3. Хранение персональных данных
3.1. Персональные данные работников и государственных гражданских служащих Министерство финансов Республики Тыва содержатся на бумажных носителях, в том числе в основном документе персонального учета - личном деле, в которое могут входить следующие документы:
- анкетно-биографические и характеризующие материалы, к которым относятся: анкета автобиография (при необходимости), копии документов об образовании, результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей (в случаях, предусмотренных трудовым законодательством), заявление работника о приеме на работу', копия приказа о приеме на работу, служебный контракт, документы, связанные с переводом и перемещением работника (копии приказов, заявления работника и т.п.), выписки (копии) из документов о присвоении почетных званий, ученой степени, награждении государственными наградами, копии наградных листов, аттестационные листы, копии приказов о поощрениях, взысканиях, характеристики и рекомендательные письма заявление работника об увольнении, копия приказа об увольнении и расторжении служебного контракта, другие документы, нахождение которых в личном деле будет признано целесообразным;
- дополнительные материалы, к которым относятся: характеристики с прежнего места работы, фотографии, дополнение к личному делу - документ, в котором фиксируются сведения о перемещении работника по работе, другие документы, нахождение которых в личном деле будет признано целесообразным.
3.2. В личное дело работника (государственного гражданского служащего) включается также опись всех документов, находящихся в деле.
3.3. В случае временного изъятия документа вместо него вкладывается лист-заменитель. Изъятое документов из личного дела производится исключительно с разрешения руководителя организации.
3.4. Сведения о работниках и государственных гражданских служащих Министерства финансов Республики Тыва на бумажных носителях хранятся в специально оборудованных шкафах и сейфах, которые запираются и опечатываются. Ключи от шкафов и сейфов, в которых хранятся сведения о работниках министерства, находятся у сотрудника отдела правового, кадрового и организационного обеспечения. Личные дела уволенных работников хранятся в специально оборудованных шкафах и сейфах.
3.5. Конкретные обязанности по хранению сведений о субъектах персональных данных, заполнению, хранению и выдаче документов, отражающих персональные данные, возлагаются на работников и государственных гражданских служащих Министерства финансов Республики Тыва и закрепляются в должностных инструкциях.
3.6. Информация, содержащая персональные данные субъекта ПДн, может также обрабатываться с использованием автоматизированных систем обработки данных. В этом случае должны выполняться требования и рекомендации нормативно-методических документов уполномоченных регулирующих органов Российской Федерации по обеспечению защиты персональных данных в информационной системе персональных данных, обрабатываемых с использованием средств автоматизации. Съемные электронные носители, на которых хранятся персональные данные субъектов персональных данных, должны быть промаркированы и учтены в соответствующем журнале.
3.7. Министерство финансов Республики Тыва обеспечивает ограничение доступа к персональным данным субъектов ПДн, не уполномоченных законодательством Российской Федерации для получения соответствующих сведений.
3.8. Доступ к персональным данным субъектов персональных данных без специального разрешения имеют работники и государственные гражданские служащие, указанные в Перечне лиц, имеющих доступ к персональным данным, обрабатываемым в информационной системе персональных данных Министерства финансов Республики Тыва.
3.9. При получении сведений, составляющих персональные данные субъекта персональных данных, указанные лица имеют право получать только те персональные данные субъекта ПДн, которые необходимы для выполнения конкретных функций, заданий.
4. Передача персональных данных
4.1. При передаче персональных данных субъект а ПДн Министерство финансов Республики Тыва должно соблюдать следующие требования:
4.1.1. Не сообщать персональные данные субъекта ПДн третьей стороне без письменного согласия субъекта ПДн за исключением случаев, предусмотренных федеральными законами Российской Федерации.
4.1.2. Не сообщать персональные данные субъекта ПДн в коммерческих целях без его письменного согласия.
4.1.3. Предупреждать лиц, получающих персональные данные субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
4.1.4. Осуществлять передачу данных субъекта ПДн в пределах Министерства финансов Республики Тыва в соответствии с настоящим Положением.
4.1.5. Разрешать доступ к персональным данным субъекта ПДн только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта ПДн. которые необходимы для выполнения конкретных функций.
4.1.6. Передавать персональные данные субъекта ПДн представителю субъекта ПДн в порядке, установленном федеральными законами Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
5. Обязанности субъекта ПДн и Министерства финансов Республики Тыва
5.1. В целях обеспечения достоверности персональных данных субъект ПДн обязан:
5.1.1. Предоставлять Министерству финансов Республики Тыва полные и достоверные данные о себе.
5.1.2. В случае изменения сведений, составляющих персональные данные субъекта ПДн незамедлительно предоставить данную информацию Министерству финансов Республики Тыва
5.1.3. Подписать обязательство о неразглашении ПДн, полученных в ходе выполнения должностных обязанностей.
5.2. Министерство финансов Республики Тыва обязано:
5.2.1. Осуществлять защиту персональных данных субъекта ПДн.
5.2.2. Обеспечивать хранение документации, содержащей персональные данные субъектов ПДн. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
ГАРАНТ:
Нумерация пунктов приводится в соответствии с источником
6. Права субъекта ПДн в целях защиты персональных данных:
6.1. В целях обеспечения защиты персональных данных, обрабатываемых Министерством финансов Республики Тыва, субъекты ПДн имеют право на:
6.1.1. Полную информацию об их персональных данных и методах их обработки, в частности субъект ПДн имеет право знать перечень обрабатываемых персональных данных, кто и в каких целях использует или использовал его персональные данные.
6.1.2. Свободный запрос и бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъект ПДн, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".
6.1.3. Определение представителей для защиты своих персональных данных.
6.1.4. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".
6.1.5. Требование об извещении Министерством финансов Республики Тыва всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
6.1.6. Обжалование в судебном порядке любых неправомерных действий или бездействия Министерства финансов Республики Тыва при обработке и защите его персональных данных.
7. Ответственность за нарушение норм, рейдирующих получение, обработку и защиту персональных данных субъекта ПДн:
7.1. Лица виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном федеральными законами Российской Федерации, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
7.2. Неправомерный отказ Министерства финансов Республики Тыва исключить или исправить персональные данные субъекта ПДн, а также любое иное нарушение прав субъекта ПДн на защиту персональных данных влечет возникновение у субъекта ПДн права требовать устранения нарушения его прав и компенсации причиненного таким нарушением морального вреда.
6. Мероприятия по обеспечению безопасности персональных данных
6.1. Мероприятия по обеспечению безопасности персональных данных являются составной частью деятельности министерства.
6.2. Сбой в функционировании элементов информационной системы персональных данных, предоставляемых пользователям информационной системы персональных данных, а также потеря защищаемой информации, связанные с нарушением правил обработки персональных данных, может произойти в результате следующих действий (бездействия):
непреднамеренных либо преднамеренных действий сотрудников министерства и третьих лиц;
в результате возникновения обстоятельств непреодолимой силы.
6.3. По каждому происшествию проводится проверка, для проведения которой назначается комиссия. Порядок проведения проверки устанавливается Правилами осуществления в министерстве внутреннего контроля соответствия обработки персональных данных требованиям законодательства в сфере защиты персональных данных согласно приложению N 4 к настоящему приказу. В ходе проверки устанавливаются обстоятельства, виновные лица в нарушении мероприятий по защите информации, причины и условия, способствовавшие нарушению.
По результатам проведенной проверки определяются обстоятельства способствующие совершению выявленных нарушений, а также необходимые мероприятия по их устранению.
6.4. Процедуры, направленные на выявление нарушений:
осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике министерства в отношении обработки персональных данных, правовым актам министерства;
иные процедуры, направленные на выявление нарушений.
6.5. Процедуры, направленные на предотвращение нарушений:
назначение ответственного за организацию обработки персональных данных, который осуществляет, в том числе обучение и инструктаж, внутренний контроль за соблюдением сотрудниками министерства требований к защите персональных данных;
ознакомление сотрудников министерства непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных и иными документами по вопросам обработки персональных данных;
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных министерства;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных министерства, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
разграничение прав доступа к персональным данным при их обработке в информационных системах персональных данных министерства.
6.6. Персональные данные не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает сотрудника министерства от взятых им обязательств по неразглашению сведений ограниченного распространения.
6.7. При обработке в министерстве персональных данных на бумажных носителях, в частности, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в mix персональных данных, должны соблюдаться требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15.09.2008 N 687.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
6.8. Допускается передача материальных носителей персональных данных на хранение сторонней организации на основании договора, при этом существенным условием договора является обязанность обеспечения указанной организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке (хранении).
6.9. Лица виновные в нарушении требований настоящих Правил, несут ответственность в соответствии с действующим законодательством Российской Федерации.