Приказ Комитета записи актов гражданского состояния Пермского края от 21.06.2019 N СЭД-42-01-08-50 "Об утверждении организационных документов в сфере обработки и защиты персональных данных в Комитете записи актов гражданского состояния Пермского края" (с изменениями и дополнениями)

Приказ Комитета записи актов гражданского состояния Пермского края от 21 июня 2019 г. N СЭД-42-01-08-50
"Об утверждении организационных документов в сфере обработки и защиты персональных данных в Комитете записи актов гражданского состояния Пермского края"

В соответствии со статьей 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" приказываю:

1. Утвердить прилагаемые:

1.1. Положение об обработке и организации защиты персональных данных в Комитете записи актов гражданского состояния Пермского края (далее - Комитет);

1.2. Перечень персональных данных государственных гражданских служащих Комитета, работников Комитета, замещающих должности, не являющиеся должностями государственной гражданской службы, граждан, претендующих на замещение вакантных должностей и участвующих в конкурсе на включение в кадровый резерв в Комитете, обрабатываемых в информационных системах персональных данных;

1.3. Перечень персональных данных субъектов персональных данных, обрабатываемых в иных информационных системах Комитета;

1.4. Порядок организации мероприятий по защите персональных данных, обрабатываемых в иных информационных системах Комитета;

1.5. Памятку пользователю по информационной безопасности;

1.6. Типовую форму согласия на обработку персональных данных государственного гражданского служащего Комитета, гражданина, претендующего на замещение вакантных должностей и участвующего в конкурсе на включение в кадровый резерв в Комитете, а также иных субъектов персональных данных;

1.7. Типовую форму согласия на обработку персональных данных работника Комитета, замещающего должность, не являющуюся должностью государственной гражданской службы Пермского края;

1.8. Типовую форму обязательства студента, проходящего в Комитете производственную практику;

1.9. Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

1.10. Типовое обязательство государственного гражданского служащего Комитета, работника Комитета, замещающего должность, не являющуюся должностью государственной гражданской службы, уполномоченного на обработку персональных данных, в случае расторжения с ним служебного контракта/трудового договора прекратить обработку персональных данных, ставших известными ему в связи с использованием должностных обязанностей;

1.11. Типовую форму обязательства о неразглашении информации, содержащей персональные данные, ставшие известными в процессе выполнения служебных обязанностей работнику Комитета записи актов гражданского состояния Пермского края, замещающему должность, не являющуюся должностью государственной гражданской службы;

1.12. Типовую форму согласия для гражданина, записавшегося на личный прием в Комитет записи актов гражданского состояния Пермского края;

1.13. Типовую форму согласия на передачу персональных данных государственного гражданского служащего Комитета, работника Комитета, замещающего должность, не являющуюся должностью государственной гражданской службы Пермского края.

2. Признать утратившим силу Приказ Комитета от 19 августа 2013 г. N СЭД-42-01-08-22 "Об утверждении Положения в сфере обработки и защиты персональных данных в связи с прохождением государственной гражданской службы Пермского края в Комитете записи актов гражданского состояния Пермского края".

3. Настоящий приказ вступает в силу со дня его подписания.

4. Контроль за исполнением настоящего Приказа возложить на заместителя председателя Комитета, начальника отдела по вопросам государственной регистрации актов гражданского состояния Комитета.

Председатель Комитета

Е.А. Ерохина

Положение
об обработке и организации защиты персональных данных в комитете записи актов гражданского состояния Пермского края
(утв. приказом Комитета записи актов гражданского состояния Пермского края от 21 июня 2019 г. N СЭД-42-01-08-50)

I. Общие положения

1.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, федеральными законами от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон о защите информации), от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (далее - Закон о государственной гражданской службе), от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции" (далее - Закон о противодействии коррупции), Указом Президента Российской Федерации от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера", постановлениями Правительства Российской Федерации от 15 сентября 2008 г. N 678 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", иными нормативными актами о государственной гражданской службе.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо "от 15 сентября 2008 г. N 678" следует читать "от 15 сентября 2008 г. N 687"

1.2. Целью разработки настоящего Положения является определение политики Комитета записи актов гражданского состояния Пермского края (далее - Комитет) в отношении обработки и защиты персональных данных.

1.3. Понятия, используемые в настоящем Положении: персональные данные, обработка персональных данных, автоматизированная обработка персональных данных, распространение персональных данных, предоставление персональных данных, уничтожение персональных данных, обезличивание персональных данных, информационная система персональных данных, - употребляются в значениях, установленных Законом о персональных данных.

1.4. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.

1.5. Целями обработки персональных данных являются:

- ведение бюджетного, налогового, оперативного, кадрового и воинского учета;

- взимание необходимых налогов и сборов с доходов сотрудников в соответствии с законодательством РФ;

- формирование и предоставление в соответствующие органы власти необходимой статистической, бюджетной, налоговой и иной отчетности по установленным формам;

- организация обучения и повышения квалификации сотрудников оператора;

- организация производственной практики студентов;

- рассмотрение обращений граждан, регистрация письменных обращений граждан;

- ведение документооборота;

- противодействие коррупции;

- формирование кадрового резерва на государственную гражданскую службу Пермского края;

- регистрация в информационных системах Комитета пользователей таких систем.

1.6. Сроки обработки персональных данных устанавливаются в соответствии с целью обработки. После достижения цели обработки персональные данные отправляются на архивное хранение.

II. Организация обработки персональных данных

2.1. Обработка персональных данных в Комитете осуществляется с соблюдением принципов и правил, предусмотренных Законом о персональных данных.

2.2. Функции по обработке персональных данных государственных гражданских служащих Комитета, работников Комитета, замещающих должности, не являющиеся должностями государственной гражданской службы (далее - работники Комитета), граждан, претендующих на замещение вакантных должностей в Комитете, а также разработка соответствующих документов, регламентирующих обработку и защиту персональных данных указанных лиц, сведений конфиденциального характера, ограниченного доступа, осуществляются Комитетом, Аппаратом Правительства Пермского края на основании соглашения о кадровом обеспечении и профилактики коррупции и государственным казенным учреждением Пермского края "Единый центр учета" на основании соглашения о передаче функций по ведению бюджетного (бухгалтерского), налогового учета, отдельных направлений кадрового учета, финансово-экономического обеспечения и формирования отчетности (далее - функциональные органы).

2.3. Руководители функциональных органов соответствующими правовыми актами:

2.3.1. утверждают перечень должностей уполномоченных лиц из числа сотрудников функциональных органов, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, а также ответственных за проведение мероприятий по обезличиванию персональных данных;

2.3.2. назначают из числа сотрудников функционального органа уполномоченных лиц, осуществляющих обработку персональных данных (далее - пользователь ПДн) в информационных системах персональных данных функциональных органов (далее - информационная система персональных данных).

2.4. Перечень уполномоченных лиц Комитета, имеющих доступ к персональным данным государственных гражданских служащих Комитета, работников Комитета, граждан, претендующих на замещение вакантных должностей в Комитета, а также лиц, имеющих доступ к персональным данным (иной информации ограниченного доступа), обрабатываемых в информационных системах Комитета (далее - иные информационные системы Комитета), лиц, ответственных за организацию обработки персональных данных, лиц, ответственных за обеспечение безопасности персональных данных, обрабатываемых в иных информационных системах Комитета, утверждается приказом Комитета.

2.5. На уполномоченных лиц, ответственных за организацию обработки персональных данных, возлагаются обязанности, установленные частью 4 статьи 22.1 Закона о персональных данных.

2.6. Для разграничения полномочий пользователи ПДн по выполнению действий с персональными данными Комитета и функциональные органы в части, касающейся, утверждают разрешительную систему допуска пользователей информационной системы персональных данных (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам.

2.7. Пользователи ПДн при обработке персональных данных в информационной системе персональных данных, иных информационных системах Комитета обязаны:

размещать устройства ввода (отображения) информации, исключающие ее несанкционированный просмотр;

осуществлять контроль за защитой устройств ввода (отображения) информации от внешних воздействий (воздействия окружающей среды, нестабильность электроснабжения и т.д.);

осуществлять вход в информационную систему персональных данных, иные информационные системы Комитета только под своей учетной записью;

осуществлять действия с персональными данными (запись, корректировку, распечатку, удаление), обрабатываемыми в информационной системе персональных данных, иных информационных системах Комитета, в соответствии с присвоенными им правами согласно принятой разрешительной системе;

в случае отказа информационной системы персональных данных, иных информационных систем Комитета в идентификации пользователя либо неподтверждения личного пароля немедленно обратиться к уполномоченному лицу, назначенному ответственным за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных, иных информационных системах Комитета;

не разглашать информацию о присвоенном имени учетной записи и пароле для входа в информационную систему персональных данных, иные информационные системы Комитета посторонним лицам;

при работе со съемными носителями информации осуществлять их проверку на наличие программных вирусов и вредоносных программ с использованием штатных средств антивирусной защиты каждый раз перед началом работы с ними;

производить запись персональных данных только на учтенные съемные носители персональных данных;

контролировать точность, полноту и правильность вводимых данных в информационные системы персональных данных, иные информационные системы Комитета;

контролировать ошибочные действия пользователей ПДн по вводу и (или) передаче информации;

контролировать наличие антивирусной защиты на устройствах ввода (отображения) информации, на которых установлены информационные системы персональных данных, иные информационные системы Комитета.

2.8. Пользователи ПДн, имеющие право на выполнение в информационной системе персональных данных, иных информационных системах Комитета действий по вводу, изменению, удалению персональных данных, несут ответственность за полноту, точность и актуальность персональных данных, обрабатываемых в данной информационной системе персональных данных.

2.9. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

2.10. Получение согласия субъекта персональных данных на обработку его персональных данных в письменном виде в установленных законодательством случаях осуществляется уполномоченными лицами, осуществляющими обработку персональных данных, при получении персональных данных от субъекта персональных данных по установленной форме либо в любой другой форме, включающей установленные Законом о персональных данных сведения и позволяющей подтвердить факт получения согласия.

2.11. Обработка специальных категорий персональных данных субъектов персональных данных осуществляется без согласия указанных лиц в случаях и порядке, установленных законодательством Российской Федерации.

III. Организация защиты персональных данных

3.1. Председатель Комитета записи актов гражданского состояния Пермского края (далее - председатель), руководители функциональных органов в пределах полномочий организуют защиту персональных данных.

3.2. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, иных информационных системах Комитета, осуществляется в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных" и Порядком организации мероприятий по защите персональных данных, осуществляемых при их обработке в информационных системах персональных данных Комитета и функциональных органов.

3.3. Для проведения мероприятий по обеспечению защиты персональных данных при их обработке в информационных системах Комитет и функциональные органы утверждают перечни информационных систем персональных данных, иных информационных систем (далее - Перечень информационных систем).

В Перечень информационных систем включаются все информационные системы, созданные в Комитете, для ведения автоматизированной обработки персональных данных.

3.4. Комитет и функциональные органы в соответствии с компетенцией в рамках проведения мероприятий по разработке и осуществлению работ по обеспечению безопасности персональных данных при их обработке в информационной системе:

обеспечивают надежное функционирование серверного, телекоммуникационного оборудования, каналов передачи данных, средств и систем защиты персональных данных, обрабатываемых в информационных системах персональных данных, иных информационных системах;

планируют и обеспечивают проведение мероприятий, направленных на подтверждение эффективности комплекса используемых мер и средств защиты персональных данных при их обработке в информационных системах персональных данных, иных информационных системах.

3.5. Для проведения мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, иных информационных системах Комитета правовыми актами Комитета и функциональных органов назначаются уполномоченные лица, ответственные за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных, иных информационных системах Комитета.

3.6. Уполномоченные лица, указанные в пункте 3.5 настоящего Положения: участвуют в определении класса информационных систем персональных данных;

участвуют в процессе установки средств и систем защиты персональных данных;

контролируют правильность использования установленных средств и систем защиты, а также функционирование этих средств и систем;

контролируют соблюдение требований действующего законодательства и выполнение мер по безопасности персональных данных лицами, допущенными к обработке персональных данных в функциональном органе;

информируют председателя о несанкционированных действиях, сбоях работы средств и систем защиты информации;

прекращают обработку пользователями ПДн персональных данных в информационной системе персональных данных, иных информационных системах Комитета при обнаружении несанкционированных действий пользователей ПДн, нарушениях функционирования средств и систем защиты персональных данных до устранения выявленных нарушений;

организуют принятие правовых, организационных и технических мер для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

доводят до сведения государственных гражданских служащих Комитета и работников Комитета положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

организуют прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществляют контроль за приемом и обработкой таких обращений и запросов.

3.7. Председатель, руководители функциональных органов организуют мероприятия по устранению выявленных нарушений и исключению предпосылок для дальнейшего возникновения аналогичных нарушений.

3.8. Лица, уполномоченные на обработку персональных данных, осуществляют обработку персональных данных в соответствии с требованиями, установленными законодательством Российской Федерации в области персональных данных и настоящим Положением.

IV. Условия обезличивания персональных данных

4.1. Обезличивание персональных данных проводится с целью снижения ущерба от разглашения защищаемых персональных данных и снижения требований к защите информационной системы персональных данных.

4.2. Обезличивание персональных данных также осуществляется по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом о персональных данных.

4.3. Способы обезличивания при условии дальнейшей обработки персональных данных:

уменьшение перечня обрабатываемых сведений;

замена части сведений идентификаторами;

замена численных значений минимальным, средним или максимальным значением;

понижение точности некоторых сведений;

деление сведений на части и обработка их в разных информационных системах;

другие способы.

4.4. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.

4.5. Для обезличивания персональных данных применяются любые способы, не запрещенные законодательством Российской Федерации.

4.6. Обезличенные персональные данные не подлежат разглашению, а их конфиденциальность - нарушению.

4.7. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

V. Сроки обработки и хранения персональных данных

5.1. Сроки обработки и хранения персональных данных субъектов персональных данных определяются в соответствии с законодательством Российской Федерации.

5.2. Срок хранения персональных данных, внесенных в информационные системы персональных данных, должен соответствовать сроку хранения бумажных оригиналов.

5.3. По истечении установленного срока хранения уничтожение бумажных и электронных носителей персональных данных, утративших свое практическое значение и не имеющих исторической ценности, производится по акту в установленном порядке.

5.4. Документы, базы данных, содержащие персональные данные, имеющие постоянный срок хранения, передаются на архивное хранение по акту в установленном порядке.

5.5. По окончании процедуры уничтожения лицом, ответственным за архивную деятельность, составляется соответствующий акт об уничтожении документов, содержащих персональные данные.

5.6. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

5.7. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

VI. Рассмотрение запросов субъектов персональных данных или их представителей

6.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

6.1.1. подтверждение факта обработки персональных данных;

6.1.2. правовые основания и цели обработки персональных данных;

6.1.3. применяемые способы обработки персональных данных;

6.1.4. наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым такие данные могут быть раскрыты на основании Федерального закона;

6.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

6.1.6. сроки обработки персональных данных, в том числе сроки их хранения;

6.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Положением;

6.1.8. информацию об осуществленной или предполагаемой трансграничной передаче данных;

6.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Комитета, если обработка поручена или будет поручена такому лицу;

6.1.10. иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

6.2. Субъекты персональных данных вправе требовать уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Сведения, указанные в подпунктах 6.1.1-6.1.8 пункта 6.1 настоящего Положения, должны быть предоставлены субъекту персональных данных оператором безвозмездно в доступной форме, без указания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6.4. Сведения, указанные в подпунктах 6.1.1-6.1.8 пункта 6.1 настоящего Положения, предоставляются субъекту персональных данных или его представителю уполномоченным лицом, осуществляющим обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

6.4.1. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

6.4.2. сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Комитетом (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей государственной гражданской службы Пермского края), либо сведения, иным образом подтверждающие факт обработки персональных данных в Комитете, подпись субъекта персональных данных или его представителя.

6.5. Исполнение запроса субъектов персональных данных или их представителей осуществляется в сроки, установленные Законом о персональных данных.

6.6. Повторный запрос на получение сведений, указанных подпунктах 6.1.1-6.1.8 пункта 6.1 настоящего Положения, и ознакомление с такими персональными данными может быть направлен не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.

6.7. Субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения сведений, указанных в подпунктах 6.1.1-6.1.8 пункта 6.1 настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 6.6 настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 6.4 настоящего Положения, должен содержать обоснование направления повторного запроса.

6.8. Комитет, функциональные органы вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, установленным настоящим Положением. Такой отказ должен быть мотивированным.

6.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, установленных Законом о персональных данных.

VII. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством Российской Федерации в области персональных данных

7.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям проводятся периодические проверки условий обработки персональных данных.

Проверки проводятся ответственным за организацию обработки персональных данных.

7.2. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании приказа Комитета не реже одного раза в три года или на основании поступившего письменного заявления субъекта персональных данных о нарушениях правил обработки персональных данных (внеплановые проверки).

7.3. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.

7.4. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть установлены:

7.4.1. порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

7.4.2. порядок и условия применения средств защиты информации;

7.4.3. соблюдение правил доступа к персональным данным;

7.4.4. осуществление мероприятий по обеспечению целостности персональных данных.

7.5. Ответственный за организацию обработки персональных данных при проведении проверки условий обработки персональных данных имеет право:

7.5.1. запрашивать у лиц, уполномоченных на обработку персональных данных, информацию, необходимую для реализации полномочий;

7.5.2. требовать от лиц, уполномоченных на обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

7.5.3. принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

7.5.4. вносить на рассмотрение председателя предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке, а также предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

7.6. Ответственный за организацию обработки персональных данных при проведении проверки условий обработки персональных данных должен обеспечивать конфиденциальность ставших ему известными в ходе проведения мероприятий внутреннего контроля персональных данных.

7.7. Проверка условий обработки персональных данных должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения об ее проведении.

7.8. По результатам проведенной проверки условий обработки персональных данных ответственный за организацию обработки персональных данных представляет председателю письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.

VIII. Порядок доступа в помещения, в которых ведется обработка персональных данных

8.1. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.

8.2. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.

Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

8.3. Вскрытие и закрытие помещений, в которых ведется обработка персональных данных, производится лицами, имеющими право доступа в данные помещения.

8.4. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня лица, имеющие право доступа в помещения, обязаны:

убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть шкафы;

отключить технические средства (кроме постоянно действующей техники) и электроприборы, выключить освещение;

закрыть окна;

закрыть двери.

8.5. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только лица, непосредственно работающие в данном помещении.

Иные лица имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии лиц, непосредственно работающих в данных помещениях.

8.6. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты.

8.7. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии лица, работающего в данном помещении.

8.8. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на лиц, обрабатывающих персональные данные.

Перечень
персональных данных государственных гражданских служащих Комитета записи актов гражданского состояния Пермского края (далее - Комитет), работников комитета, замещающих должности, не являющиеся должностями государственной гражданской службы, граждан, претендующих на замещение вакантных должностей и участвующих в конкурсе на включение в кадровый резерв в комитете, обрабатываемых в информационных системах персональных данных
(утв. приказом Комитета записи актов гражданского состояния Пермского края от 21 июня 2019 г. N СЭД-42-01-08-50)

1. Фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества, причина их изменения в случае их изменения);

2. число, месяц, год рождения;

3. место рождения;

4. информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);

5. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

6. паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, когда и кем выдан);

7. адрес места жительства (адрес и дата регистрации, фактического проживания);

8. номер контактного телефона или сведения о других способах связи (в том числе адрес личной электронной почты);

9. реквизиты страхового свидетельства обязательного пенсионного страхования;

10. идентификационный номер налогоплательщика и членов его семьи;

11. реквизиты свидетельства государственной регистрации актов гражданского состояния;

12. информация о семейном положении, составе семьи, близких родственниках (в том числе бывших);

13. сведения о выполняемой работе с начала трудовой деятельности (включая работу по совместительству, предпринимательскую и иную деятельность), военной службе;

14. классный чин федеральной государственной гражданской службы Российской Федерации и (или) государственной гражданской службы субъекта Российской Федерации и (или) муниципальной службы, дипломатический ранг, воинское и (или) специальное звание, классный чин правоохранительной службы (кем и когда присвоены);

15. владение иностранными языками и языками народов Российской Федерации;

16. сведения о воинском учете и реквизиты документов воинского учета;

17. сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

18. сведения о прохождении государственной гражданской службы, в том числе: дата основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы;

19. информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;

20. сведения о пребывании за границей (когда, где, с какой целью);

21. близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей);

22. информация о наличии или отсутствии судимости;

23. информация об оформленных допусках к государственной тайне (форма, номер и дата);

24. информация о государственных наградах, иных наградах и знаках отличия (кем награжден и когда);

25. сведения о социальных льготах;

26. сведения о заработной плате;

27. фамилии, имена, отчества, даты и места рождения, места рождения, места работы или учебы, адреса регистрации по месту жительства (месту пребывания), адреса фактического проживания близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);

28. фамилии, имена, отчества, даты и места рождения, места рождения, места работы или учебы, адреса регистрации по месту жительства (месту пребывания), адреса фактического проживания бывших мужей (жен);

29. фотографии и иные сведения, относящиеся к персональным данным;

30. сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера членов семьи;

31. результаты сдачи тестирования (анкетирования);

32. сведения о наличии (отсутствии) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению, подтвержденного заключением медицинского учреждения.

Перечень
персональных данных субъектов персональных данных, обрабатываемых в иных информационных системах Комитета записи актов гражданского состояния Пермского края
(утв. приказом Комитета записи актов гражданского состояния Пермского края от 21 июня 2019 г. N СЭД-42-01-08-50)

1. Фамилия, имя, отчество субъекта, его близких родственников (супруг/супруга, дети).

2. ИНН.

3. Паспортные данные (серия, номер, когда и кем выдан).

4. Адрес места жительства.

5. Номер контактного телефона.

6. Адрес электронной почты.

7. Реквизиты счета (тип счета, банк, БИК, номер счета, валюта).

Порядок
организации мероприятий по защите персональных данных, осуществляемых при их обработке в информационных системах Комитета записи актов гражданского состояния Пермского края
(утв. приказом Комитета записи актов гражданского состояния Пермского края от 21 июня 2019 г. N СЭД-42-01-08-50)

N	Наименование мероприятия	Срок выполнения	Ответственные за выполнение
1	2	3	4
1	Направление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) уведомления установленной формы о намерении осуществлять обработку персональных данных с использованием средств автоматизации	до начала обработки персональных данных либо в случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных в течение 10 рабочих дней с даты возникновения таких, изменений или с даты прекращения обработки персональных данных	лицо, ответственное за организацию обработки персональных данных в Комитете
2	Подготовка правового основания обработки персональных данных, в том числе: разработка проекта правового акта о вводе в эксплуатацию информационной системы персональных данных, включение информационной системы персональных данных в перечень информационных систем персональных данных	при создании информационной системы персональных данных	начальник архивно-информационного отдела Комитета
3	Организация проведения классификации информационных систем персональных данных	при создании информационной системы персональных данных; при выявлении персональных данных в других информационных системах; при изменении состава, структуры или технических особенностей построения действующей информационной системы персональных данных (изменение программного обеспечения, топологии и прочее)	начальник архивно-информационного отдела Комитета
4	Организация работы по выявлению угроз безопасности и разработке моделей угроз	при создании новой информационной системы персональных данных или создании системы защиты действующей информационной системы персональных данных	начальник архивно-информационного отдела Комитета
5	Организация обеспечения исключения угроз безопасности путем организации передачи персональных данных с помощью сменных носителей, создания, автономных информационных систем персональных данных на выделенных автоматизированных рабочих местах и прочих доступных мер	при создании новой информационной системы персональных данных или создании системы защиты действующей информационной системы персональных данных	начальник архивно-информационного отдела Комитета

Памятка
пользователю по информационной безопасности
(утв. приказом Комитета записи актов гражданского состояния Пермского края от 21 июня 2019 г. N СЭД-42-01-08-50)

Парольная защита

- Не сохраняйте ваши пароли в программах. Злоумышленник может извлечь пароли из файлов настроек программ.

- Сохраняйте в тайне личный пароль. Никогда не сообщайте пароль другим лицам и не храните записанный пароль в общедоступных местах.

- В случае производственной необходимости (командировка, отпуск и т.п.), при проведении работ, выполняемых отделом, допускается раскрытие значений своего пароля тем сотрудникам, которым нужен доступ к вашем компьютеру или вашим файлам. По окончании производственных или проверочных работ работники самостоятельно производят немедленную смену значений "раскрытых" паролей.

- Не используйте пароль доступа в локальную сеть в других программах и на сайтах, где требуется регистрация.

Антивирусная защита

- Никогда не отключайте установленное на компьютере антивирусное программное обеспечение.

- Во случаях возможного проявления действия вирусов или подозрении на наличие вируса - незамедлительно сообщите об этом ответственному за антивирусный контроль и оцените с ним возможные пути заражения и распространения данного вируса.

Интернет и электронная почта

- Обязательно проверяйте на наличие вирусов все файлы, загружаемые из Интернета.

- Не переходите по ссылкам, не запускайте программы и не открывайте файлы, полученные по электронной почте от неизвестного Вам отправителя.

- Не передавать по электронной почте Ваши пароли.

- Не принимайте никаких соглашений при посещении сайтов, смысла которых Вы не понимаете.

- Не передавать по электронной почте персональные данные.

Электронная подпись

- Не передавайте никому личный ключевой носитель и не сообщайте PIN-код доступа к нему кому бы то ни было! Доступ к ключевым носителям должен быть только у их владельцев! Категорически запрещается оставлять личный ключевой носитель и/или PIN-код доступа к нему без присмотра!

- Недопустимо пересылать файлы с ключевой информацией для работы в системах обмена электронными документами по электронной почте сети Интернет или по внутренней электронной почте (кроме запросов на сертификат и открытых ключей).

- Работать со средствами электронной подписи необходимо на персональном компьютере, где нет доступа третьим лицам.

- В случае невозможности обеспечить безопасность компьютера с установленным программным обеспечением для работы с электронной подписью необходимо придерживаться следующих правил безопасности:

При работе с электронной подписью пользователю запрещается:

- осуществлять несанкционированное копирование ключевых носителей;

- вносить какие-либо изменения в программное обеспечение СКЗИ;

- изменять настройки, установленные программой установки СКЗИ или администратором;

- разглашать состав сведений на собственном носителе ключевой информации или пароль доступа к нему, а также передавать этот носитель другим лицам, выводить значение личных криптоключей и других ключевых данных на дисплей, принтер или другие средства визуального отображения информации;

- записывать на носители ключевой информации другие сведения, кроме тех, которые предусмотрены для функционирования программного комплекса;

- оставлять криптоключ в считывателе после окончания работы с ним;

- оставлять персональный компьютер без контроля включенным либо незаблокированным (с помощью средств операционной системы) после считывания криптоключа;

- пользователь несет ответственность за хранение собственного носителя ключевой информации и пароля доступа к нему.

Порядок действий пользователя при компрометации криптоключей и носителей ключевой информации

- Прекратить обмен электронными документами с использованием скомпрометированных ключей.

- В случае компрометации ключевых данных, утери носителя ключевой информации или возникновения обоснованного подозрения относительно такой компрометации пользователь немедленно сообщает об этом в АУЦ и действует в соответствии с указаниями ответственного лица и согласно Регламенту работы АУЦ.

- Пользователь, допустивший компрометацию собственных криптоключей, несет полную ответственность за ущерб, связанный с их использованием, а также за все издержки, связанные с генерацией новых ключей, их сертификацией и вводом в действие.

Прочее

- Не устанавливайте самостоятельно программное обеспечение, если это не входит в Ваши обязанности. Запрещается устанавливать и запускать нелицензионное или не относящееся к выполнению Ваших должностных обязанностей программное обеспечение.

- Располагайте мониторы и печатающие устройства таким образом, чтобы исключить несанкционированный доступ к отображаемой и печатаемой информации.

- При временном оставлении рабочего места в течение рабочего дня в обязательным порядке блокируйте компьютер нажатием комбинации клавиш "Win + L".