Приказ Министерства строительства и архитектуры Ставропольского края от 15.03.2019 N 76 "Об утверждении организационно-распорядительных документов по защите персональных данных в министерстве строительства и архитектуры Ставропольского края" (документ не действует)

Приказ Министерства строительства и архитектуры Ставропольского края
от 15 марта 2019 г. N 76
"Об утверждении организационно-распорядительных документов по защите персональных данных в министерстве строительства и архитектуры Ставропольского края"

С целью организации работ по обеспечению безопасности персональных данных в министерстве строительства и архитектуры Ставропольского края в соответствии с требованиями Федеральных законов от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" приказываю:

ГАРАНТ:

См. Приказ Министерства строительства и архитектуры Ставропольского края от 15 марта 2019 г. N 75 "Об организации работы с персональными данными в министерстве строительства и архитектуры Ставропольского края"

1. Утвердить прилагаемые:

1.1. Политика министерства строительства и архитектуры Ставропольского края в отношении обработки персональных данных.

1.2. Инструкция о порядке работы с персональными данными в министерстве строительства и архитектуры Ставропольского края.

1.3. Инструкция пользователя информационной системы персональных данных в министерстве строительства и архитектуры Ставропольского края (не приводится).

1.4. Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационной системы персональных данных министерства строительства и архитектуры Ставропольского края (не приводится).

1.5. Инструкция пользователя информационной системы персональных данных по обеспечению безопасности при возникновении нештатных ситуаций в министерстве строительства и архитектуры Ставропольского края (не приводится).

2. Отделу документационного обеспечения и аналитической работы министерства строительства и архитектуры Ставропольского края.

2.1. Ознакомить под подпись с прилагаемыми документами сотрудников министерства.

2.2. Организовать работу по обеспечению обработки персональных данных в соответствии с нормами, изложенными в прилагаемых документах.

3. Контроль за исполнением настоящего приказа оставляю за собой.

4. Настоящий приказ вступает в силу со дня его подписания.

Первый заместитель министра

С.Н. Никитенко

УТВЕРЖДЕНА
приказом
министерства строительства
и архитектуры Ставропольского края
от 15 марта 2019 г. N 76

Политика министерства строительства и архитектуры Ставропольского края в отношении обработки персональных данных

I. Общие положения

1. Настоящая Политика разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Гражданского кодекса Российской Федерации, федеральных законов "О персональных данных", "Об информации, информационных технологиях и о защите информации" и иных нормативных правовых актов Российской Федерации, устанавливает единые цели, принципы и правила обработки персональных данных в министерстве строительства и архитектуры Ставропольского края (далее - министерство) и определяет основные меры, реализуемые министерством для обеспечения защиты персональных данных.

2. Министерство, являясь оператором, осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами.

3. Настоящий документ является общедоступным и подлежит размещению на официальном сайте министерства.

II. Основные понятия

4. В настоящем документе используются следующие понятия:

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных);

субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

оператор - государственный орган или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

специальные категории персональных данных - персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;

информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

конфиденциальность персональных данных - обязательное для соблюдения оператором требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;

защита персональных данных - деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

III. Информация об операторе

5. Наименование: Министерство строительства и архитектуры Ставропольского края

ИНН: 2634101115

Фактический адрес: 355035 г. Ставрополь, ул. Спартака, 6

Тел.: 8 (652) 26-60-62, факс 26-55-71

Адрес электронной почты: minstroy-sk@mail.ru.

IV. Категории обрабатываемых персональных данных, источники их получения

6. В информационных системах персональных данных оператора обрабатываются следующие категории персональных данных: персональные данные сотрудников и их близких родственников, персональные данные иных физических лиц и их законных представителей.

V. Цели обработки персональных данных

7. Обработка персональных данных в министерстве осуществляется в целях:

исполнения положений нормативных правовых актов Российской Федерации и Ставропольского края;

заключения и выполнения обязательств по трудовым договорам и договорам гражданско-правового характера;

другие цели обработки персональных данных.

8. Обработка персональных данных работников министерства осуществляется в целях обеспечения выполнения договорных соглашений с работником, выполнения социальных обязательств, а также в других целях.

VI. Основные принципы обработки, передачи и хранения персональных данных

9. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона 152-ФЗ "О персональных данных".

10. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации, и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайны.

11. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

12. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных).

13. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений.

14. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.

15. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

16. Передача персональных данных в уполномоченные органы исполнительной власти (Федеральную налоговую службу Российской Федерации, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и др.) осуществляется в соответствии с требованиями законодательства Российской Федерации.

17. Оператор вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора.

18. Хранение персональных данных в министерстве осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. По достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению. Сроки хранения персональных данных определяются в соответствии с законодательством Российской Федерации.

VII. Меры по обеспечению безопасности персональных данных при их обработке

19. Министерство при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

Меры защиты, реализуемые министерством при обработке персональных данных, включают:

принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах министерства;

организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в министерстве;

создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;

организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;

хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;

обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;

установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и информационной телекоммуникационной сети "Интернет" без применения установленных в министерстве мер по обеспечению безопасности персональных данных;

обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;

осуществление внутреннего контроля за соблюдением в министерстве законодательства Российской Федерации и правовых актов министерства при обработке персональных данных.

VIII. Права субъектов персональных данных

20. Субъект персональных данных имеет право:

получать полную информацию, касающуюся обработки в министерстве его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

требовать исправления неверных либо неполных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства Российской Федерации;

требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях;

отозвать согласие на обработку своих персональных данных;

обжаловать действия или бездействие оператора при обработке своих персональных данных в соответствии с законодательством Российской Федерации;

осуществлять иные права, предусмотренные законодательством Российской Федерации.

IX. Обязанности оператора

21. Министерство при обработке персональных данных обязано:

принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;

разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;

осуществлять блокирование неправомерно обрабатываемых персональных данных;

осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;

уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;

предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации.

22. Лицо, ответственное за организацию обработки и защиты персональных данных в министерстве, обязано:

организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в министерстве, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

обеспечивать внутренний контроль за соблюдением в министерстве требований законодательства Российской Федерации и нормативных актов министерства в области персональных данных, в том числе требований к защите персональных данных;

организовывать доведение до сведения работников министерства положения законодательства Российской Федерации в области персональных данных, нормативных актов министерства по вопросам обработки персональных данных, а также требований к защите персональных данных;

организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений в министерстве.

X. Заключительные положения

23. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

24. Ответственность за нарушение требований законодательства Российской Федерации и правовых актов министерства в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

УТВЕРЖДЕНА
приказом
министерства строительства
и архитектуры Ставропольского края
от 15 марта 2019 г. N 76

Инструкция
о порядке работы с персональными данными в министерстве строительства и архитектуры Ставропольского края

I. Общие положения

1. Настоящая Инструкция разработана с целью защиты интересов министерства строительства и архитектуры Ставропольского края (далее - министерство) и субъектов персональных данных, в целях предотвращения раскрытия (передачи), а также соблюдения надлежащих правил обращения с персональными данными.

2. Настоящая Инструкция предназначена для использования всеми сотрудниками министерства, допущенными к работе с персональными данными.

3. Отнесение информации к сведениям, содержащим персональные данные, осуществляется в соответствии с Положением об обработке персональных данных без использования средств автоматизации и с Положением об обработке персональных данных с использованием средств автоматизации.

4. Сотрудники министерства, доступ которых к персональным данным необходим для выполнения ими своих служебных обязанностей, должны быть ознакомлены под роспись с настоящей Инструкцией и предупреждены о возможной ответственности за ее нарушение.

5. Термины и определения используемые в настоящей Инструкции:

Информация - сведения (сообщения, данные) независимо от формы их представления.

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Доступ к информации - возможность получения информации и ее использования.

Носитель информации - любой материальный объект или среда, используемый для хранения или передачи информации.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

II. Порядок работы со сведениями, содержащими персональные данные

6. При обработке персональных данных на бумажных документах, съемных носителях (дискетах, дисках, флеш-носителях и т.п.), компьютерах и других технических средствах, сотрудники министерства обязаны следить как за сохранностью самих бумажных документов, съемных носителей и компьютеров и других технических средств, так и за сохранностью содержащейся в них информации, а именно не допускать неправомерного ознакомления с ней лиц, не имеющих допуска к работе с персональными данными.

7. Запрещается хранение или оставление бумажных документов и съемных носителей, содержащих персональные данные, в виде, позволяющем осуществить визуальный просмотр содержащихся в них персональных данных, их фотографирование или несанкционированное создание копий. Напечатанные документы, содержащие персональные данные, должны изыматься из принтеров немедленно. Хранение бумажных документов и съемных носителей, содержащих персональные данные, допускается только в специальных закрытых шкафах, сейфах и помещениях, к которым исключен доступ лиц, не допущенных к обработке соответствующих персональных данных.

8. Запрещается без прямой служебной необходимости делать выписки персональных данных, распечатывать документы с персональными данными или записывать персональные данные на съемные носители.

9. Запрещается использовать для передачи персональных данных съемные носители, не учтенные в Журнале учета машинных носителей информации (Приложение 1).

10. Запрещается выносить документы, съемные носители или переносные компьютеры, содержащие персональные данные, за пределы служебных помещений министерства, если это не требуется для выполнения служебных (трудовых).

11. Бумажные документы с персональными данными, у которых истек срок хранения, лишние или испорченные копии документов с персональными данными, должны быть уничтожены без возможности их восстановления (например, в шредерах).

12. Большие объемы бумажных документов с персональными данными, съемные носители с персональными данными, а также встроенные в компьютеры носители с персональными данными должны уничтожаться под контролем ответственного за организацию обработки персональных данных, способом, исключающим дальнейшее восстановление информации.

13. Оборудование в помещении должно размещаться таким образом, чтобы исключить возможность бесконтрольного доступа к нему посторонних лиц. Мониторы компьютеров должны быть ориентированы таким образом, чтобы исключить возможность просмотра отображаемой на них информации лицами, не имеющими допуска к обработке персональных данных.

14. Мониторы компьютеров, использующихся для обработки персональных данных, должны быть ориентированы таким образом, чтобы исключить визуальный просмотр информации с них лицами, не имеющими допуск к обработке персональных данных.

15. Окна помещений, в которых ведется обработка персональных данных, должны быть оборудованы шторами или жалюзи.

16. Категорически запрещается упоминать в разговоре с третьими лицами сведения, содержащие персональные данные.

17. Запрещается в нерабочее время или за пределами служебных помещений упоминать в разговоре с кем-либо, включая любых сотрудников министерства, сведения, содержащие персональные данные.

18. Запрещается обсуждать порядок доступа, места хранения, средства и методы защиты персональных данных с кем-либо, кроме ответственного за организацию обработки персональных данных, администратора безопасности ИСПДн, руководства, или лица, уполномоченного руководством на обсуждение данных вопросов.

III. Порядок доступа лиц в помещения

19. При обеспечении доступа лиц соблюдаются требования законодательства РФ по защите персональных данных.

20. Обеспечение доступа лиц в помещения предусматривает комплекс специальных мер, направленных на поддержание и обеспечение установленного порядка деятельности структурных подразделений и определяет порядок пропуска сотрудников министерства и иных организации и учреждений, в помещения.

21. Контроль за порядком обеспечения доступа лиц в помещения возлагается на руководителя структурного подразделения.

22. Не допускается нахождение сотрудников министерства в помещениях в нерабочее для них время.

23. Нахождение посетителей допускается только в рабочее время.

24. В помещения ИСПДн пропускаются:

беспрепятственно - министр строительства и архитектуры Ставропольского края (далее - министр) и сотрудники, имеющие допуск к работе с персональными данными и с целью выполнения должностных обязанностей;

при наличии служебного удостоверения, с разрешения министра или руководителя структурного подразделения министерства, в сопровождении ответственного за организацию обработки персональных данных или руководителя структурного подразделения министерства - сотрудники контролирующих органов, сотрудники пожарных и аварийных служб, сотрудники полиции;

ограниченно - сотрудники, не имеющие допуска к работе с персональными данными или не имеющие функциональных обязанностей в помещении, сотрудники сторонних организаций и учреждений для выполнения договорных отношений.

25. Посетители пропускаются в помещения ИСПДн министерства в рабочее время в сопровождении сотрудников, допущенных к обработке персональных данных.

26. В помещениях, в которых происходит обработка и хранение персональных данных, запрещено использование не предусмотренных служебными обязанностями технических устройств, фотографирование, видеозапись, звукозапись, в том числе с использованием мобильных телефонов.

27. Рабочие и специалисты ремонтно-строительных организаций пропускаются в помещение для проведения ремонтно-строительных работ на основании заявок, подписанных руководством министерства.

28. В целях предотвращения несанкционированного доступа к сведениям, содержащим персональные данные, работы проводятся только под контролем ответственного за организацию обработки персональных данных или руководителя структурного подразделения.

29. Для исключения возможности бесконтрольного проникновения в помещения и к установленному в них оборудованию посторонних лиц, двери в отсутствие штатных сотрудников запираются на ключ. Помещение должно быть оборудовано специальными инженерными средствами, такими как усиленные двери, охранная сигнализация и т.п.

30. Режим работы охраны устанавливается штатным расписанием и должностными инструкциями.

31. Уборка помещений ИСПДн должна производиться под контролем сотрудника, допущенного к обработке персональных данных в этом помещении.

32. Во время уборки в помещении должна быть приостановлена работа с персональными данными, должны быть выключены или заблокированы все АРМ, на которых обрабатываются персональные данные. Носители, содержащие персональные данные, должны быть убраны в закрытые шкафы или сейфы.

IV. Ответственность за разглашение персональных данных

33. Сотрудники министерства, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.

34. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим сотрудникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных локальными нормативно-правовыми актами (приказами, распоряжениями) министерства, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарных взысканий в виде: замечания, выговора, увольнения. Сотрудник министерства, имеющий доступ к персональным данным субъекта и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба министерства (в соответствии с пунктом 7 статьи 243 Трудового кодекса РФ).

В отдельных случаях, при разглашении персональных данных, сотрудник, совершивший указанный проступок, несет ответственность в соответствии со статьей 13.14 Кодекса об административных правонарушениях Российской Федерации.

35. В случае незаконного сбора или публичного распространения информации о частной жизни лица (нарушения неприкосновенности частной жизни), предусмотрена ответственность в соответствии со статьей 137 Уголовного кодекса Российской Федерации.

36. Руководитель министерства за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несет административную ответственность согласно статьям 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные этого субъекта.

Приложение 1
к Инструкции
о порядке работы с персональными
данными в министерстве строительства
и архитектуры Ставропольского края

Журнал
учета ключей от сейфов и помещений министерства строительства и архитектуры Ставропольского края

                                      /-----------------------------------\

                                      |Начат:                 |           |

                                      |-----------------------+-----------|

                                      |Окончен:               |           |

                                      |-----------------------+-----------|

                                      |Количество листов:     |           |

                                      |-----------------------+-----------|

                                      |Срок хранения:         |5 лет      |

                                      \-----------------------------------/

N п/п	Номер или маркировка сейфа, помещения	Дата и время выдачи ключа	Расписка о выдаче (Ф.И.О., подпись)	Расписка о получении (Ф.И.О., подпись)	Дата и время обратного приема ключа	Расписка об обратном получении (Ф.И.О., подпись)	Расписка о возвращении (Ф.И.О., подпись)	Примечание
1	2	3	4	5	6	7	8	9

Приложение 2
к Инструкции
о порядке работы с персональными
данными в министерстве строительства
и архитектуры Ставропольского края

Лист
ознакомления с Инструкцией о порядке работы с персональными данными в министерстве строительства и архитектуры Ставропольского края

Дата ознакомления	Ф.И.О. сотрудника, ознакомившегося с документом	Должность сотрудника, ознакомившегося с документом	Подпись сотрудника, ознакомившегося с документом
1	2	3	4

ГАРАНТ:

Не приводится