Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства финансов Иркутской области от 17 сентября 2012 г. N 46Н-МПР "О правилах обработки персональных данных"
- Приложение N 1. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в министерстве финансов Иркутской области
Приложение N 1. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в министерстве финансов Иркутской области
Информация об изменениях:
Приказом Министерства финансов Иркутской области от 18 ноября 2016 г. N 96н-мпр настоящее приложение изложено в новой редакции
Приложение N 1
к Приказу Министерства финансов Иркутской области
от 17 сентября 2012 г. N 46Н-МПР
Правила
обработки персональных данных, устанавливающие процедуры,
направленные на выявление и предотвращение нарушений
законодательства Российской Федерации в сфере персональных
данных, а также определяющие для каждой цели обработки
персональных данных содержание обрабатываемых персональных
данных, категории субъектов, персональные данные которых
обрабатываются, сроки их обработки и хранения, порядок
уничтожения при достижении целей обработки или при наступлении
иных законных оснований в министерстве финансов Иркутской
области
С изменениями и дополнениями от:
4 февраля, 30 сентября 2013 г., 12 февраля, 23 апреля 2015 г., 18 ноября 2016 г., 11 октября 2017 г., 27 ноября 2020 г., 11 июня 2021 г.
Информация об изменениях:
Пункт 1 изменен с 22 июня 2021 г. - Приказ Министерства финансов Иркутской области от 11 июня 2021 г. N 40н-мпр
1. Правила обработки персональных данных (далее - Правила) в министерстве финансов Иркутской области (далее - Министерство) определяют порядок обработки и любого другого использования персональных данных.
2. Обработка персональных данных в Министерстве осуществляется отделом государственной гражданской службы и кадровой работы в управлении правовой и организационной работы и отделом исполнения бюджета и сметы (далее - сотрудники, обрабатывающие персональные данные).
Лица, доступ которых к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения должностных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного правовым актом Министерства. Указанные лица предупреждаются об ответственности за нарушение законодательства Российской Федерации о персональных данных и дают обязательство о неразглашении информации, содержащей персональные данные, в письменной форме в соответствии с типовым обязательством о неразглашении информации, содержащей персональные данные.
Распоряжением Министерства утверждаются перечни объектов информатизации и допущенных сотрудников для обработки информации в электронном виде, отнесенной законами Российской Федерации к персональным данным в составе информационных систем персональных данных и ответственных за обеспечение безопасности персональных данных в указанных информационных системах.
Информация об изменениях:
Пункт 3 изменен с 22 июня 2021 г. - Приказ Министерства финансов Иркутской области от 11 июня 2021 г. N 40н-мпр
3. Обработка персональных данных сотрудников министерства и иных физических лиц осуществляются в целях реализации договорных, трудовых отношений, обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, в соответствии Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и защите информации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Трудовым кодексом Российской Федерации, другими федеральными законами, Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего и ведении его личного дела", постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", иными нормативными правовыми актами Российской Федерации, Уставом Иркутской области, Законом Иркутской области от 4 апреля 2008 года N 2-оз "Об отдельных вопросах государственной гражданской службы Иркутской области", другими законами Иркутской области и иными нормативными правовыми актами Иркутской области
ГАРАНТ:
По-видимому, в предыдущем абзаце допущена опечатка. Слова "в соответствии Федеральным законом" следует читать как "в соответствии с Федеральным законом"
4. Субъектами персональных данных в Министерстве являются:
1) лица, замещающие должности государственной гражданской службы;
2) лица, замещающие должности, не являющиеся должностями государственной гражданской службы Иркутской области;
3) вспомогательный персонал;
4) лица, претендующие на замещение должностей государственной гражданской службы министерства;
5) лица, состоящие в кадровом резерве министерства;
6) лица, ранее состоявшие на гражданской службе (в трудовых отношениях) в Министерстве, личные дела которых не переданы на хранение в государственный архив Иркутской области;
7) супруги и несовершеннолетние дети лиц, замещающих (претендующих на замещение) должностей государственной гражданской службы Иркутской области в Министерстве, входящих в перечень должностей при назначении на которые и при замещении которых гражданские служащие обязаны предоставлять сведения о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей;
8) лица, проходящие производственную практику в Министерстве;
9) лица, заключающие государственные контракты на выполнение работ, оказание услуг.
5. Обработка персональных данных в Министерстве представляет собой любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, осуществляемые в следующих случаях:
Информация об изменениях:
Подпункт 5.1 изменен с 11 декабря 2020 г. - Приказ Министерства финансов Иркутской области от 27 ноября 2020 г. N 80н-мпр
5.1. При обработке персональных данных отделом государственной гражданской службы и кадровой работы в управлении правовой и организационной работы:
1) формирование кадрового состава на государственной гражданской службе Иркутской области для замещения должностей государственной гражданской службы Иркутской области в Министерстве;
2) ведение трудовых книжек (за исключением случаев, если в соответствии с Трудовым кодексом Российской Федерации, иным федеральным законом трудовая книжка на сотрудника не ведется) сотрудников Министерства;
3) ведение личных дел сотрудников Министерства;
4) ведение реестра государственных гражданских служащих Иркутской области в Министерстве;
5) оформление и выдача удостоверений сотрудникам Министерства;
6) обеспечение деятельности комиссии по соблюдению требований к служебному поведению гражданских служащих и урегулированию конфликтов интересов в Министерстве;
7) обеспечение проведения конкурсов на замещение вакантных должностей государственной гражданской службы Иркутской области в Министерстве и на включение государственных гражданских служащих Иркутской области в кадровый резерв на государственной гражданской службе Иркутской области Министерства;
8) обеспечение проведения аттестации государственных гражданских служащих Иркутской области в Министерстве;
9) обеспечение проведения квалификационных экзаменов государственных гражданских служащих в Министерстве;
10) организация профессионального развития государственных гражданских служащих Иркутской области в Министерстве;
11) формирование кадрового резерва на государственной гражданской службе Иркутской области Министерства и организация работы с кадровым резервом Министерства;
12) организация проверки достоверности представляемых лицами, указанными в подпунктах 1, 4, 5 пункта 4 настоящих Правил, персональных данных и иных сведений;
13) организация проведения служебных проверок;
15) организация проверки сведений о доходах, об имуществе и обязательствах имущественного характера, представляемых лицами, указанными в подпунктах 1, 4 пункта 4 настоящих Правил, которые в соответствии с законодательством Российской Федерации обязаны представлять сведения о доходах, об имуществе и обязательствах имущественного характера, а также соблюдения государственными гражданскими служащими Иркутской области в Министерстве ограничений, установленных федеральными законами;
16) подготовка архивных справок.
5.2. При обработке персональных данных отделом исполнения бюджета и сметы:
1) начисление заработной платы и иных форм денежного содержания государственных гражданских служащих;
2) начисление пособий по социальному страхованию;
3) заключение и исполнение государственных контрактов с физическими лицами на выполнение работ, предоставление услуг;
4) начисление сумм помощи неработающим пенсионерам;
5) удержание из заработной платы, налоговые вычеты, начисление налогов и страховых взносов по сотрудникам Министерства и другим физическим лицам.
6. При получении, обработке персональных данных лица, уполномоченные на получение, обработку и любое другое использование персональных данных, обязаны соблюдать следующие требования:
а) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, законодательства Российской Федерации в области персональных данных, других федеральных законов и иных нормативных правовых актов Российской Федерации, содействия в трудоустройстве, обучении и должностном росте, обеспечения личной безопасности сотрудников и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества Министерства;
б) персональные данные следует получать лично у сотрудников, в случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом сотрудников заранее, получить их письменное согласие и сообщить сотрудникам о целях, предполагаемых источниках и способах получения персональных данных. При работе с документами, содержащими персональные данные, сотрудникам обрабатывающим персональные данные запрещается вносить изменения в документы, содержащие персональные данные, без предъявления субъектом персональных данных документов, подтверждающих данное изменение. В случае невозможности документально подтвердить изменение, которое требуется внести, субъект персональных данных подтверждает правильность внесенных изменений своей подписью;
в) запрещается обрабатывать и приобщать к личному делу сотрудников не установленные Федеральными законами персональные данные об их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
г) при принятии решений, затрагивающих интересы сотрудников, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки;
д) защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Министерства в порядке, установленном Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и иными нормативными правовыми актами Российской Федерации;
е) передача персональных данных третьей стороне не допускается без письменного согласия субъектов персональных данных, за исключением случаев, установленных законодательством Российской Федерации в области персональных данных.
7. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
8. Контроль за реализацией требований по обеспечению безопасности персональных данных в информационных системах возлагается на ответственного за организацию обработки персональных данных, назначаемого распоряжением Министерства.
9. При обработке персональных данных в информационных системах персональных данных в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" должен быть обеспечен установленный комиссионно уровень защищенности информационной системы персональных данных организационными и техническими мерами.
10. Персональные данные и иные сведения, содержащиеся в личных делах сотрудников, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.
11. Документы, содержащие персональные данные, хранятся в Министерстве с соблюдением предусмотренных нормативными правовыми актами Российской Федерации и настоящими Правилами мер по защите персональных данных.
Документы, содержащие персональные данные, отнесенные к сведениям, составляющим государственную тайну, хранятся у сотрудников отдела по мобилизационной подготовке Министерства в соответствии с законодательством Российской Федерации о государственной тайне.
12. Срок хранения документов, содержащих персональные данные лиц, указанных в пункте 4 настоящих Правил, определяется в соответствии с Приказом Министерства культуры Российской Федерации от 25 августа 2010 года N 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения".
13. Документы, содержащие персональные данные, утратившие свое практическое значение и не имеющие исторической ценности, уничтожаются в следующих случаях:
1) по истечении установленного срока хранения по акту в порядке, установленном правовыми актами Иркутской области;
2) при достижении целей обработки персональных данных;
3) при отзыве субъектом персональных данных согласия на обработку его персональных данных, если обработка персональных данных невозможна без согласия субъекта персональных данных;
4) при невозможнсти# обеспечить правомерность обработки персональных данных.
14. В случаях, предусмотренных подпунктами 2, 3 пункта 13 настоящих Правил, уничтожение персональных данных осуществляется в срок, не превышающий тридцати дней со дня блокирования персональных данных, если иное не предусмотрено соглашением с субъектом персональных данных, либо если уполномоченные должностные лица не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных.
В случае, предусмотренном подпунктом 4 пункта 13 настоящих Правил, уничтожение персональных данных осуществляется в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных.
15. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пункте 14 настоящих Правил, уполномоченные должностные лица осуществляют блокирование таких персональных данных и обеспечивают уничтожение персональных данных не позднее шести месяцев со дня блокирования персональных данных, если иной срок не установлен федеральными законами.
16. Все документы, компакт-диски, флеш-накопители, содержащие персональные данные, подлежат уничтожению на основании актов уничтожения, составляемых по форме приложения к настоящим Правилам (прилагается).
17. Защита персональных данных сотрудников министерства обеспечивается мерами, включающими в себя охрану помещений, в которых ведется обработка персональных данных, а также в электронном виде в информационной системе персональных данных автоматизированная информационная система управления финансово-хозяйственной деятельностью в министерстве финансов Иркутской области (далее - ИСПДн АИС ФХД), контроль за соблюдением установленных требований, обеспечение режима безопасности в этих помещениях, обеспечение сохранности носителей персональных данных и средств их защиты, исключение несанкционированного проникновения или пребывания в этих помещениях посторонних лиц, контроль за эффективностью предусмотренных мер защиты.
18. Руководители структурных подразделений Министерства, сотрудники которых осуществляют обработку персональных данных или доступ к ним, осуществляют непосредственный контроль за выполнением требований по защите персональных данных от несанкционированного доступа к ним, в том числе от копирования, записи конфиденциальных сведений на отчуждаемые и мобильные носители информации (ноутбуки, карманные персональные компьютеры, флеш-накопители, компакт-диски), их распространения, предоставления, использования или утраты.
19. Сотрудники Министерства, обрабатывающие персональные данные в обязательном порядке под подпись знакомятся с настоящими Правилами и дают обязательство о неразглашении информации, содержащей персональные данные, в письменной форме в соответствии с типовым обязательством о неразглашении информации, содержащей персональные данные.
20. В случаях, когда сотрудник Министерства обрабатывающий персональные данные временно (в связи с болезнью, отпуском или иными обстоятельствами) не может исполнять свои должностные обязанности и его обязанности временно возложены на иное должностное лицо, указанный сотрудник передает документы, содержащие персональные данные, лицу, на которое будет возложено исполнение его должностных обязанностей. В случаях, когда должностное лицо, на которое возложено исполнение указанных обязанностей, не давало обязательство о неразглашении информации, содержащей персональные данные, указанное лицо дает обязательство в письменной форме в соответствии с типовым обязательством о неразглашении информации, содержащей персональные данные.
21. При увольнении сотрудника Министерства, обрабатывающего персональные данные, документы, содержащие персональные данные, передаются руководителю структурного подразделения, где работал данный сотрудник.
22. Обеспечение безопасности персональных данных включает в себя следующие меры:
1) допуск к обработке персональных данных только сотрудников, обрабатывающих персональные данные, за исключением случаев, установленных пунктами 2 и 20 настоящего Положения;
2) осуществление работы сотрудников, обрабатывающих персональные данные, с информационными системами персональных данных и личными делами только в помещениях, утвержденных распоряжением Министерства для целей обработки персональных данных данных#, в которых выполняются требования законодательства Российской федерации в области обеспечения безопасности персональных данных и (далее - помещение); #
3) ограничение доступа в помещение посторонних лиц;
4) обеспечение в Министерстве таких условий учета и хранения документов, содержащих персональные данные, которые исключают их хищение, подмену или уничтожение;
5) учет съемных машиночитаемых носителей, содержащих базы данных персональных данных;
6) защита персональных данных, содержащихся на машиночитаемых носителях, паролями доступа;
7) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) их несанкционированной передачи третьим лицам;
8) своевременное выявление и устранение нарушений требований по защите персональных данных;
9) обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
23. Доступ в помещения, в которых ведется обработка персональных данных, разрешается постоянно работающим в них сотрудникам. Лица, не включенные в указанный список, могут находиться в помещении только в присутствии лиц, постоянно работающих в помещении.
24. В помещении, где хранятся документы, содержащие персональные данные, должны располагаться закрывающиеся на ключ металлические шкафы и (или) сейфы, в которых осуществляется хранение документов, содержащих персональные данные. Помещение оборудуется системами противопожарной сигнализации.
25. Документы, содержащие персональные данные, должны охраняться путем контроля доступа в помещения, где хранятся персональные данные посторонних лиц, наличия надежных препятствий для несанкционированного проникновения в помещения, особенно в нерабочее время.
26. В отсутствие сотрудника, обрабатывающего персональные данные на его личном столе не должны находиться документы (копии документов), содержащие персональные данные.
27. Помещения, в которых обрабатываются персональные данные, в рабочее время при отсутствии в них сотрудников, обрабатывающих персональные данные должны быть закрыты на ключ. В нерабочее время помещения закрываются на ключ, опечатываются и ставятся на сигнализацию.
28. Сотрудники Министерства при обработке персональных данных с использованием ИСПДн АИС ФХД, обязаны:
- принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;
- вести учет электронных носителей информации (включая резервные и архивные копии), осуществлять хранение документов, содержащих персональные данные, и электронных носителей информации в металлических шкафах или сейфах;
- производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с данными сведениями;
- соблюдать установленный порядок и правила доступа в ИСПДн АИС ФХД, не допускать передачу персональных кодов и паролей;
- принимать все необходимые меры к надежной сохранности кодов и паролей доступа к ИСПДн АИС ФХД;
- работать с информационной системой в объеме своих полномочий, не допускать их превышения;
- обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.
29. При работе на персональном компьютере, в том числе для доступа к ИСПДн АИС ФХД, сотрудникам, обрабатывающим персональные данные запрещается:
- записывать значения кодов и паролей доступа;
- передавать коды и пароли доступа другим лицам;
- пользоваться в работе чужими кодами и паролями доступа;
- производить подбор кодов и паролей доступа других пользователей;
- записывать на электронные носители с персональными данными посторонние программы и данные;
- копировать данные на неучтенные электронные носители информации;
- выносить электронные носители с персональными данными за пределы Министерства без согласования с министром финансов Иркутской области;
- покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств, блокирования доступа к персональному компьютеру;
- приносить, самостоятельно устанавливать и эксплуатировать на технических средствах любые программные продукты, не принятые к эксплуатации;
- открывать, разбирать, ремонтировать технические средства, вносить изменения в конструкцию, подключать нештатные блоки и устройства;
- передавать технические средства для ремонта и обслуживания сторонним организациям без извлечения носителей, содержащих персональные данные.
30. Содержание и объем обрабатываемых персональных данных лиц, указанных в пункте 4 настоящих Правил, должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
|
Начальник управления правовой и организационной работы |
А.В.Шишлов |