Приложение N 1. Правила обработки персональных данных и осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора в министерстве экономического развития и торговли Саратовской области. Приказ министерства экономического развития и торговли Саратовской области от 17.05.2013 N 1130 "Об утверждении документов, определяющих политику в отношении обработки персональных данных в министерстве экономического развития и торговли Саратовской области" (утратил силу)

Приложение N 1
к приказу министерства экономического
развития и торговли Саратовской области
от 17 мая 2013 г. N 1130

Правила
обработки персональных данных и осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора в министерстве экономического развития и торговли Саратовской области

I. Общие положения

1. Настоящие Правила (далее - Правила) обработки персональных данных и осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора в министерстве экономического развития и торговли Саратовской области (далее - Министерство) определяют порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Министерстве.

2. Настоящие Правила определяют политику Министерства как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

3. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" и иными нормативными правовыми актами, регулирующими вопросы, касающиеся обработки персональных данных.

4. Обработка персональных данных в Министерстве осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.

II. Условия и порядок обработки персональных данных государственных гражданских служащих Министерства

5. Персональные данные государственных гражданских служащих Министерства (далее - государственных служащих Министерства), граждан, претендующих на замещение должностей государственной гражданской службы Министерства (далее - граждан, претендующих на замещение должностей государственной службы Министерства) обрабатываются в целях обеспечения:

а) кадровой работы, в том числе в целях содействия государственным служащим Министерства в прохождении государственной службы, формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, обеспечения государственным служащим Министерства установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции;

б) бухгалтерского учета.

6. Обработка персональных данных государственных служащих Министерства, граждан, претендующих на замещение должностей государственной службы Министерства, осуществляется на основании письменного согласия указанных субъектов персональных данных, как с использованием средств автоматизации, так и без использования таких средств.

Письменное согласие государственных служащих Министерства действует со дня их поступления на государственную службу и на время ее прохождения.

Обработка персональных данных без согласия субъектов персональных данных, указанных в настоящем пункте, допускается исключительно при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона "О персональных данных".

7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных государственных служащих Министерства, граждан, претендующих на замещение должностей государственной службы Министерства, осуществляется путем:

7.1. Получения оригиналов необходимых документов (заявление, трудовая книжка, иные документы, предоставляемые в отдел кадровой работы Министерства);

7.2. Копирования оригиналов документов;

7.3. Внесения сведений в учетные формы (на бумажных и электронных носителях);

7.4. Формирования персональных данных в ходе кадровой работы;

7.5. Внесения персональных данных в информационные системы Министерства.

8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от государственных служащих Министерства, граждан, претендующих на замещение должностей государственной службы Министерства.

9. В случае возникновения необходимости получения персональных данных государственного служащего Министерства, гражданина, претендующего на замещение должности государственной службы Министерства, у третьей стороны, необходимо сообщить государственному служащему Министерства, гражданину, претендующему на замещение должности государственной службы Министерства, информацию, указанную в части 3 статьи 18 Федерального закона "О персональных данных", за исключением случаев, предусмотренных Федеральным законом "О персональных данных".

10. Запрещается получать, обрабатывать и приобщать к личному делу государственного служащего Министерства персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

11. При сборе персональных данных сотрудник Министерства, осуществляющий сбор (получение) персональных данных непосредственно от государственных служащих Министерства, граждан, претендующих на замещение должностей государственной службы Министерства, разъясняет указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

12. Передача (распространение, предоставление) и использование персональных данных государственных служащих Министерства, граждан, претендующих на замещение должностей государственной службы Министерства, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

III. Условия и порядок обработки персональных данных субъектов в соответствии с задачами и функциями, возложенными на Министерство нормативными правовыми актами, в том числе связанными с предоставлением государственных услуг и исполнением государственных функций

13. В Министерстве обработка персональных данных осуществляется в целях реализации задач и функций, возложенных на него нормативными правовыми актами, в том числе связанных с предоставлением государственных услуг и исполнением государственных функций:

13.1. Обеспечение своевременного и в полном объеме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции Министерства;

13.2. Реализация мероприятий в рамках компетенции Министерства, предусмотренных долгосрочными областными целевыми программами по поддержке малого и среднего предпринимательства;

13.3. Выдача лицензий на розничную продажу алкогольной продукции в Саратовской области;

13.4. Осуществление лицензионного контроля за розничной продажей алкогольной продукции в Саратовской области;

13.5. Выдача разрешений на проведение региональных лотерей и рассмотрение уведомлений о проведении стимулирующих лотерей на территории Саратовской области;

13.6. Осуществление регионального государственного надзора за проведением региональных лотерей, в том числе за целевым использованием выручки от проведения региональных лотерей на территории Саратовской области;

13.7. Осуществление приема деклараций об объеме розничной продажи алкогольной и спиртосодержащей продукции и государственный контроль за их представлением на территории Саратовской области;

13.8. Осуществление контроля за соблюдением законодательства Российской Федерации и иных нормативных правовых актов Российской Федерации о размещении заказов при размещении заказов на поставки товаров, выполнение работ, оказание услуг для нужд области, а также нужд бюджетных учреждений области, а также в случаях, предусмотренных Федеральным законом "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд", при размещении заказов на поставки товаров, выполнение работ, оказание услуг для муниципальных нужд, а также нужд муниципальных бюджетных учреждений.

14. Обработка персональных данных, указанных в пункте 13 настоящих Правил, осуществляется без согласия субъектов персональных данных в соответствии с пунктами 2, 4 части 1 статьи 6 Федерального закона "О персональных данных", Федеральными законами "Об организации предоставления государственных и муниципальных услуг", "О порядке рассмотрения обращений граждан Российской Федерации", "О государственном регулировании производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции и об ограничении потребления (распития) алкогольной продукции", Федеральными законами "О развитии малого и среднего предпринимательства в Российской Федерации", "О лотереях", "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд" и иными нормативными правовыми актами, устанавливающими задачи и функции, возложенные на Министерство, в том числе связанными с предоставлением государственных услуг и исполнением государственных функций.

15. Обработка персональных данных, указанных в пункте 13 настоящих Правил, осуществляется структурными подразделениями Министерства, участвующими в реализации задач и функций, возложенных на него нормативными правовыми актами, в том числе связанных с предоставлением государственных услуг и исполнением государственных функций, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

16. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, указанных в пункте 13 настоящих Правил, осуществляется путем:

16.1. Получения оригиналов необходимых документов (заявление);

16.2. Копирования необходимых документов;

16.3. Внесения сведений в учетные формы (на бумажных и электронных носителях).

17. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, указанных в пункте 13 настоящих Правил осуществляется путем получения персональных данных непосредственно от субъектов персональных данных либо их представителей.

18. При обработке персональных данных, указанных в пункте 13 настоящих Правил, запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

19. При сборе персональных данных, указанных в пункте 13 настоящих Правил, уполномоченное должностное лицо Министерства, непосредственно осуществляющее получение персональных данных, обязано разъяснить субъектам персональных данных юридические последствия отказа предоставить персональные данные.

20. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, указанных в пункте 13 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

IV. Правила обработки персональных данных, осуществляемой без использования средств автоматизации

21. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) осуществляется с учетом требований постановления Правительства РФ от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

22. Неавтоматизированная обработка персональных данных осуществляется как на бумажных носителях, так и в электронном виде на материальных носителях информации.

23. Неавтоматизированная обработка персональных данных в электронном виде должна осуществляться на съемных материальных носителях информации.

24. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на съемных материальных носителях информации необходимо принимать организационные (охрана помещений) и технические (установка сертифицированных средств защиты информации) меры, исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.

25. Учет материальных носителей информации, содержащих персональные данные, осуществляется служебным делопроизводством. Допускается ведение журналов учета в электронном виде.

26. В ходе неавтоматизированной обработки персональных данных уполномоченными должностными лицами Министерства не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.

27. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (частичное удаление).

28. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

V. Порядок обработки персональных данных субъектов персональных данных в информационных системах

29. Классификация информационных систем персональных данных Министерства осуществляется в порядке, установленном законодательством Российской Федерации.

30. Государственным гражданским служащим структурных подразделений Министерства, имеющим право осуществлять обработку персональных данных в информационных системах персональных данных Министерства, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе.

31. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Министерства, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

31.1. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Министерства;

31.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных Министерства, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

31.3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

31.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

31.5. Учет машинных носителей персональных данных;

31.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

31.7. Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

31.8. Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Министерства, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Министерства;

31.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

32. Государственные гражданские служащие Министерства, осуществляющие обработку персональных данных в информационных системах персональных данных Министерства, должны обеспечить:

32.1. Своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Министерстве и руководителя Министерства;

32.2. Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

32.3. Возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

32.4. Постоянный контроль за обеспечением уровня защищенности персональных данных;

32.5. Знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, касающейся соответствующей информационной системы персональных данных;

32.6. При обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;

32.7. Обмен персональными данными при их обработке в информационных системах персональных данных Министерства осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.