Приложение к Приказу от 15.08.2017 г № 128 Правила

Правила организации работы инспекции государственного жилищного надзора волгоградской области по обработке персональных данных, рассмотрению обращений субъектов персональных данных или их представителей


1.1.Настоящие Правила организации работы инспекции государственного жилищного надзора Волгоградской области по обработке персональных данных, рассмотрению обращений субъектов персональных данных или их представителей (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон), постановлением Правительства Российской Федерации от 15 сентября 2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 17 ноября 2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и устанавливает единые Правила обработки персональных данных в инспекции государственного жилищного надзора Волгоградской области (далее - Инспекция).
1.2.Настоящие Правила определяют основные требования к процессу обработки (как с использованием средств автоматизации, так и без использования таковых) и обеспечения безопасности персональных данных, а также обязанности должностных лиц Инспекции в процессе обработки персональных данных (далее - ПДн). Под субъектами ПДн в настоящих Правилах понимаются должностные лица Инспекции, а также иные субъекты ПДн, в том числе получатели государственных услуг, государственных функций, заявители и т.д.
1.3.Организационно-распорядительные документы Инспекции должны соответствовать настоящим Правилам.
1.4.Требования настоящих Правил обязательны для выполнения всеми должностными лицами Инспекции.
1.5.С целью снижения уровня требований по обеспечению безопасности персональных данных, обрабатываемых в Инспекции, может проводиться процедура обезличивания персональных данных, т.е. действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту ПДн. Обезличивание обрабатываемых персональных данных осуществляется в соответствии с Правилами работы с обезличенными персональными данными, которые утверждаются нормативно-правовым актом Инспекции.
1.6.В целях настоящих Правил используются следующие термины и понятия:
- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
- информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
- обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека.
2.Цели и принципы обработки персональных данных
2.1.Инспекция осуществляет обработку персональных данных в следующих целях:
а) при осуществлении основной деятельности, связанной с необходимостью обработки персональных данных, обусловленной требованиями действующего законодательства и нормативных правовых актов, регламентирующих деятельность Инспекции;
б) при рассмотрении обращений субъектов ПДн на предоставление им государственных услуг и государственных функций;
в) при прохождении работы, обучения и служебного продвижения должностных лиц Инспекции, формировании кадрового резерва, учета результатов исполнения ими своих должностных обязанностей, обеспечении установленных законодательством Российской Федерации условий труда, гарантий и компенсаций и других целей, связанных с осуществлением трудовых отношений и государственной службы;
г) статистической обработки информации (при условии обязательного обезличивания персональных данных).
2.2.Обработка персональных данных в вышеуказанных целях осуществляется в Инспекции на основе следующих принципов:
а) обработка персональных данных должна осуществляться на законной основе;
б) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
в) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
г) обработке подлежат только персональные данные, которые отвечают целям их обработки;
д) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
е) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
ж) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом; обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
3.Категории персональных данных
3.1.В Инспекции в соответствии с Федеральным законом выделяются следующие категории персональных данных:
а) специальные категории персональных данных;
б) персональные данные общей категории, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным (иные категории персональных данных);
в) обезличенные и/или общедоступные персональные данные.
3.2.В качестве субъектов ПДн, персональные данные которых могут обрабатываться в Инспекции с использованием средств автоматизации или без использования таковых, понимаются нижеперечисленные категории физических лиц:
3.1.1.Физические лица - государственные гражданские служащие Инспекции;
3.1.2.Физические лица, замещающие в Инспекции должности, не являющиеся должностями государственной гражданской службы;
3.1.3.Физические лица, участвующие в конкурсах на замещение вакантных должностей государственной гражданской службы, состоящие в кадровом резерве Инспекции;
3.1.4.Физические лица, заключающие договоры гражданско-правового характера с Инспекцией;
3.1.5.Физические лица - заявители, обращающиеся за оказанием государственных услуг и государственных функций;
3.1.6.Физические лица - заявители, направляющие свои обращения (письма) в бумажной и электронной форме в адрес Инспекции;
3.1.7.Физические лица - заявители, направляющие свои обращения (письма) в бумажной и электронной форме в федеральные и региональные органы власти, органы местного самоуправления и обращения которых переданы для рассмотрения в Инспекцию;
3.1.8.Иные субъекты ПДн, которые не вошли в вышеперечисленные категории и обработка персональных данных которых не противоречит законодательству Российской Федерации.
4.Основные условия проведения обработки персональных данных
4.1.Обработка персональных данных осуществляется:
- после получения согласия субъекта ПДн, составленного по форме согласно приложению N 1 к настоящему Положению, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;
- после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Волгоградской области и Республике Калмыкия, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона;
- после принятия необходимых мер по защите персональных данных.
4.2.В Инспекции приказом руководителя назначается должностное лицо, ответственное за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных.
4.3.Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме согласно приложению N 2 к настоящему Положению.
4.4.Запрещается:
- обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;
- осуществлять ввод персональных данных под диктовку.
4.5.В случаях, предусмотренных действующим законодательством Российской Федерации, обработка персональных данных осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с действующим законодательством Российской Федерации электронной подписью. Согласие субъекта ПДн на обработку его персональных данных оформляется в письменной форме согласно приложению N 1 к Правилам.
4.6.Субъект ПДн вправе отозвать свое согласие в установленном порядке. В случае отзыва субъектом ПДн согласия на обработку его персональных данных Инспекция обязана прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом ПДн.
5.Сроки обработки и хранения обрабатываемых
персональных данных
5.1.Сроки обработки персональных данных должны ограничиваться достижением конкретных, заранее определенных и законных целей.
5.2.Хранение персональных данных в Инспекции осуществляется в форме, позволяющей определить субъект ПДн, не дольше, чем этого требуют цели обработки персональных данных, если срок их хранения не установлен Федеральным законом.
5.3.Сроки хранения персональных данных в Инспекции, в общем случае, определяются в соответствии со сроками, установленными требованиями законодательства Российской Федерации, нормативных документов федеральных органов исполнительной власти.
6.Правила определения защищаемой информации
6.1.Инспекция создает в пределах своих полномочий, установленных в соответствии с федеральными законами, информационные системы персональных данных (далее - ИСПДн) в целях обеспечения реализации прав объектов персональных данных.
6.2.В Инспекции на основании Перечня сведений конфиденциального характера, утвержденного Указом Президента Российской Федерации 6 марта 1997 года N 188, определяется и утверждается перечень сведений ограниченного доступа, не относящихся к государственной тайне (далее - конфиденциальная информация), и перечень информационных систем персональных данных.
6.3.На стадии проектирования каждой ИСПДн определяются цели и содержание обработки персональных данных, утверждается перечень обрабатываемых персональных данных.
7.Правила обработки персональных данных в информационных
системах персональных данных с использованием
средств автоматизации
7.1.Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01 ноября 2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
7.2.Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
7.3.Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные.
Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.4.Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона.
7.5.Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
- утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, администратора по организации антивирусной защиты, и других нормативных и методических документов;
- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;
- охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных.
8.Правила обработки персональных данных без использования
средств автоматизации
8.1.Обработка персональных данных в Инспекции, осуществляемая без использования средств автоматизации, строится на принципах, изложенных в Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденном постановлением Правительства Российской Федерации от 15 сентября 2008 N 687.
8.2.Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
8.3.Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители).
8.4.При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
8.5.Работники Инспекции, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть ознакомлены с организационно-распорядительными документами Инспекции, регламентирующими обработку персональных данных.
8.6.При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
8.7.Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
8.8.Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
8.9.Должностные лица Инспекции, ответственные за проведение мероприятий по обезличиванию обрабатываемых персональных данных, должны обеспечить выполнение следующих мероприятий:
8.9.1.Определение места хранения обрабатываемых персональных данных (материальных носителей), исключающего несанкционированный доступ к ним.
8.9.2.Обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
9.Ответственность должностных лиц
Должностные лица Инспекции, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.