Приказ от 26.08.2014 г № 134

О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами


В целях исполнения Департаментом строительства и жилищно-коммунального хозяйства области требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлений Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1.Утвердить следующие документы, определяющие порядок, правила и меры по защите информации и персональных данных (далее - ПДн) в информационных системах персональных данных (далее - ИСПДн) Департамента строительства и жилищно-коммунального хозяйства Вологодской области (далее - Департамент):
- Положение о порядке обработки и защите персональных данных в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области (приложение N 1);
- Перечень персональных данных, обрабатываемых в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области в связи с реализацией служебных (трудовых) отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций (приложение N 2);
- Перечень должностей Департамента строительства и жилищно-коммунального хозяйства Вологодской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение N 3);
- Правила работы с обезличенными данными в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области (приложение N 4);
- Перечень должностей государственной гражданской службы в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (приложение N 5);
- Правила рассмотрения запросов субъектов персональных данных или их представителей в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области (приложение N 6);
- Правила осуществления внутреннего контроля соответствия обработки персональных данных в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Департамента строительства и жилищно-коммунального хозяйства Вологодской области (приложение N 7);
- Порядок доступа лиц, замещающих должности государственной гражданской службы в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области, в помещения, в которых ведется обработка персональных данных (приложение N 8);
- Перечень информационных систем персональных данных Департамента строительства и жилищно-коммунального хозяйства Вологодской области (приложение N 9);
- Типовое обязательство лица, замещающего должность государственной гражданской службы в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта либо перевода на иную должность в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (приложение N 10);
- Типовая форма согласия на обработку персональных данных лиц, замещающих должности государственной гражданской службы области в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области, иных субъектов персональных данных (приложение N 11);
- Типовая форма разъяснения субъекту персональных данных юридических последствий отказа представить свои персональные данные в Департамент строительства и жилищно-коммунального хозяйства Вологодской области (приложение N 12).
2.Назначить П.А. Игнатьевского, главного специалиста Департамента, лицом, ответственным за обеспечение защиты ПДн в ИСПДн Департамента.
3.Главному специалисту Департамента (П.А. Игнатьевский) ознакомить государственных гражданских служащих Департамента, осуществляющих обработку ПДн в ИСПДн Департамента, с настоящим приказом.
4.Отделу бухгалтерского учета, отчетности и организационно-документационного обеспечения Департамента (Е.Б. Лекомцева) обеспечить размещение настоящего приказа на официальном сайте Департамента в информационно-телекоммуникационной сети "Интернет".
5.Признать утратившими силу следующие приказы Департамента строительства и жилищно-коммунального хозяйства Вологодской области:
- от 15 августа 2012 года N 38 "О защите персональных данных в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области";
- от 2 июля 2013 года N 65 "О внесении изменения в приказ Департамента от 15 августа 2012 года N 38";
- от 24 августа 2012 года N 49 "Об утверждении документов по защите информации в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области";
- от 27 августа 2012 года N 50 "Об утверждении Положения о порядке обработки и защите персональных данных в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области".
6.Настоящий приказ вступает в силу по истечении 10 дней со дня его официального опубликования.
Начальник Департамента
М.Ю.РОМАНОВ
ПОЛОЖЕНИЕ
О ПОРЯДКЕ ОБРАБОТКИ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ДЕПАРТАМЕНТЕ СТРОИТЕЛЬСТВА И ЖИЛИЩНО-КОММУНАЛЬНОГО
ХОЗЯЙСТВА ВОЛОГОДСКОЙ ОБЛАСТИ (ДАЛЕЕ - ПОЛОЖЕНИЕ)
I.Общие положения
1.1.Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2006 года N 152-ФЗ "О персональных данных", от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", от 6 декабря 2011 года N 402-ФЗ "О бухгалтерском учете", Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Указами Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", от 7 сентября 2010 года N 1099 "О мерах по совершенствованию государственной наградной системы Российской Федерации", постановлениями Правительства Российской Федерации от 27 ноября 2006 года N 719 "Об утверждении Положения о воинском учете", от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Губернатора области от 22 мая 2007 года N 164 "Об утверждении положения о представлении лицом, замещающим государственную должность области (гражданином при решении вопроса о назначении на государственную должность области), должность государственной гражданской службы области (кандидатом на замещение должности государственной гражданской службы области), сведений о доходах, об имуществе и обязательствах имущественного характера, а также сведений о доходах, об имуществе и обязательствах имущественного характера своих супруга (супруги) и несовершеннолетних детей".
1.2.Положение определяет порядок обработки персональных данных в Департаменте строительства и жилищно-коммунального хозяйства Вологодской области (далее - Департамент) и меры по обеспечению безопасности персональных данных.
1.3.В настоящем Положении используются понятия, применяемые в значениях, определенных в Федеральном законе от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).
1.4.Перечень персональных данных, обрабатываемых в Департаменте в связи с реализацией служебных (трудовых) отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций, изложен в приложении N 2 к настоящему приказу.
1.5.Персональные данные субъектов персональных данных являются сведениями конфиденциального характера (за исключением случаев, установленных федеральными законами), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениями, составляющими государственную тайну.
1.6.Департамент является оператором, организующим и осуществляющим обработку персональных данных. Функции оператора возлагаются на структурные подразделения Департамента.
1.7.Обязанности по обработке персональных данных возлагаются на лиц, замещающих должности в структурных подразделениях Департамента, в соответствии с утвержденным перечнем должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, служебными контрактами, заключаемыми с ними, и должностными регламентами.
Перечень должностей Департамента, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, изложен в приложении N 3 к настоящему приказу.
1.8.Оператор (должностные лица, осуществляющие обработку персональных данных) при обработке персональных данных обладает полномочиями и исполняет обязанности, установленные Федеральным законом N 152-ФЗ, Трудовым кодексом Российской Федерации, настоящим Положением и иными нормативными правовыми актами.
1.9.Лица, непосредственно осуществляющие обработку персональных данных, в обязательном порядке под подпись знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Положением, локальными актами оператора по вопросам обработки персональных данных и документами, устанавливающими обязанности данных лиц по соблюдению требований конфиденциальности и безопасности персональных данных.
1.10.В случае попытки кого-либо получить от лиц, осуществляющих обработку персональных данных, сведения, являющиеся персональными данными, а также о причинах и условиях возможной утечки этих данных указанные лица обязаны об этом немедленно сообщать непосредственному руководителю.
II.Порядок обработки персональных данных субъектов персональных данных
2.1.Определение объема, содержания и способа обработки персональных данных осуществляется в соответствии с заявленными целями и правовым основанием, определяющим их получение.
2.2.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иное не предусмотрено сроком действия договора с субъектом персональных данных, сроком исковой давности, приказом Минкультуры Российской Федерации от 25 августа 2010 года N 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", иными нормативными правовыми актами. По достижении целей обработки персональных данных или в случае утраты необходимости в их достижении, а также по истечении срока хранения персональные данные подлежат уничтожению.
2.3.При обработке персональных данных лиц, претендующих на замещение должностей государственной гражданской службы в Департаменте, лиц, замещающих данные должности, соблюдаются требования, установленные статьей 86 Трудового кодекса Российской Федерации, пунктом 5 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 года N 609, и иными нормативными правовыми актами.
2.3.1.Персональные данные в течение периода прохождения государственной гражданской службы и работы хранятся в управлении правовой и кадровой работы и в отделе бухгалтерского учета, отчетности и организационно-документационного обеспечения Департамента.
2.3.2.После увольнения лица с замещаемой должности его персональные данные, содержащиеся:
на бумажных носителях - хранятся в управлении правовой и кадровой работы и в отделе бухгалтерского учета, отчетности и организационно-документационного обеспечения Департамента в течение сроков хранения, установленных действующим законодательством;
в информационных системах персональных данных - хранятся в течение пяти лет, после чего подлежат уничтожению.
2.3.3.Персональные данные лиц, претендующих на замещение должностей государственной гражданской службы области в Департаменте, хранятся в управлении правовой и кадровой работы Департамента в течение трех лет с момента их получения, после чего подлежат уничтожению.
2.3.4.Персональные данные граждан, не допущенных к участию в конкурсе на замещение вакантных должностей государственной гражданской службы области в Департаменте и конкурсе по формированию кадрового резерва, и граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор, хранятся на бумажных носителях в управлении правовой и кадровой работы Департамента в течение трех лет после проведения конкурса, после чего подлежат уничтожению, если не возвращены по запросам граждан.
2.3.5.Сведения о доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей, предоставляемые лицами, претендующими на замещение должностей, включенных в перечень должностей государственной гражданской службы области в Департаменте, при назначении на которые и при замещении которых государственные гражданские служащие обязаны представлять сведения о доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей, представителю нанимателя, в случае непоступления данных лиц на государственную службу в дальнейшем не могут быть использованы и подлежат уничтожению после проведения конкурса, за исключением случаев назначения кандидата на вакантную должность в течение месяца по результатам конкурса или из кадрового резерва, сформированного на конкурсной основе.
2.4.Обработка персональных данных иных физических лиц, представляемых в Департамент, осуществляется в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.
2.4.1.Персональные данные обрабатываются в информационных системах персональных данных Департамента в целях реализации полномочий Департамента, а также в иных установленных законодательством целях.
2.4.2.Обращения, содержащие персональные данные физических лиц, обрабатываются в Департаменте в течение срока рассмотрения обращений. В последующем указанные персональные данные:
на бумажных носителях - хранятся в течение пяти лет со дня рассмотрения обращения, после чего проводится экспертиза ценности документов должностными лицами, ответственными за ведение делопроизводства по документам, содержащим персональные данные, в соответствующих структурных подразделениях Департамента, по результатам которой составляются описи дел постоянного срока хранения и акты о выделении дел к уничтожению. Дела постоянного хранения подлежат хранению в архиве Департамента;
в электронном виде - после рассмотрения обращения подлежат уничтожению.
2.5.В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты персональных данных имеют право на доступ к своим персональным данным, получение информации, касающейся обработки своих персональных данных, и обжалование действий (бездействия) оператора в соответствии с Федеральным законом N 152-ФЗ, Трудовым кодексом Российской Федерации и иными нормативными правовыми актами.
2.6.При обработке персональных данных, осуществляемой без использования средств автоматизации, оператором выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
2.7.Правила работы с обезличенными данными в Департаменте и перечень должностей государственной гражданской службы области в Департаменте, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, изложены в приложениях NN 4 и 5 к настоящему приказу.
III.Меры по обеспечению безопасности персональных данных при их обработке в департаменте
3.1.Безопасность персональных данных достигается путем исключения неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, распространения, предоставления, а также от иных неправомерных действий в отношении их.
3.2.Персональные данные субъектов персональных данных в Департаменте обрабатываются на бумажных и электронных носителях в специальных предназначенных для этого помещениях, занимаемых структурными подразделениями Департамента, осуществляющими деятельность по обработке персональных данных.
3.3.Обеспечение безопасности персональных данных при их обработке достигается путем принятия необходимых организационных и технических мер для их защиты, установленных статьей 19 Федерального закона N 152-ФЗ, разделом III Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687, постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 18 февраля 2013 года N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", а также иными нормативными правовыми актами.
К организационным и техническим мерам защиты персональных данных относятся в том числе:
определение мест хранения материальных носителей, содержащих персональные данные, соблюдение условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ;
организация порядка уничтожения информации, содержащей персональные данные;
обеспечение целостности программных средств информационной системы персональных данных, обрабатываемой информации, а также неизменности программной среды;
соблюдение пользователями условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
соблюдение пользователями порядка реагирования на инциденты и восстановления работоспособности информационных систем.
3.4.Не допускается обработка персональных данных в информационных системах персональных данных при отсутствии:
утвержденных организационно-технических документов, установленных нормативными правовыми актами в области защиты информации;
настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации, установленными Правительством Российской Федерации, ФСТЭК России, ФСБ России.
IV.Доступ к персональным данным и информационным системам персональных данных
4.1.Доступ ко всем персональным данным, обрабатываемым в Департаменте, имеют лица, замещающие должности, а также исполняющие обязанности:
- начальника Департамента;
- начальника управления правовой и кадровой работы Департамента;
- референта Департамента - в отношении персональных данных, необходимых начальнику Департамента;
- главного специалиста Департамента, ответственного за обеспечение защиты персональных данных в информационных системах персональных данных Департамента.
4.2.Доступ к персональным данным претендентов на замещение должностей государственной гражданской службы области в Департаменте, помимо лиц, указанных в пункте 4.1 настоящего Положения, имеют:
- руководители структурных подразделений Департамента - в отношении персональных данных претендентов на замещение должностей в соответствующих структурных подразделениях Департамента;
- государственные гражданские служащие управления правовой и кадровой работы Департамента;
- лица, входящие в состав конкурсных комиссий, - в отношении претендентов, участвующих в конкурсах.
4.3.Лица, входящие в состав соответствующих аттестационных комиссий, комиссий по соблюдению требований к служебному поведению и урегулированию конфликта интересов, иных комиссий, образуемых в соответствии с Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", - в отношении рассматриваемых на соответствующих комиссиях персональных данных субъектов персональных данных.
4.4.Доступ к персональным данным иных физических лиц, представляемым в Департамент, в целях реализации полномочий (функций), помимо лиц, указанных в пункте 4.1 настоящего Положения, имеют государственные гражданские служащие Департамента, в должностные обязанности которых входят:
- регистрация, рассмотрение и контроль за рассмотрением обращений граждан, поступающих в Департамент;
- представительство интересов Департамента в организациях и органах, в том числе в арбитражных судах, судах общей юрисдикции, у мировых судей, правоохранительных органах.
4.5.Доступ к информационным системам персональных данных и электронным носителям, на которых хранятся персональные данные, имеют также уполномоченные лица:
отдела по защите информации Правительства области - в целях проверки организации обеспечения защиты электронных носителей, технических средств, позволяющих осуществлять обработку персональных данных;
бюджетного учреждения в сфере информационных технологий Вологодской области "Центр информационных технологий" - с целью сопровождения, администрирования и технической поддержки инфраструктуры информационных систем персональных данных.
Обязательным условием допуска к проведению данных работ является возложение на уполномоченных лиц обязанности обеспечения конфиденциальности персональных данных и безопасности персональных данных при работе с информационными системами персональных данных.
4.6.Персональные данные могут предоставляться в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.
4.7.Предоставление персональных данных субъектов персональных данных осуществляется лицам, которые в соответствии с пунктами 4.1 - 4.4 настоящего Положения имеют право доступа к персональным данным, по их запросу, либо в случае направления им для рассмотрения соответствующих обращений физических лиц, либо для выполнения своих должностных обязанностей по обработке персональных данных.
4.8.Лица, указанные в пункте 4.7 настоящего Положения, имеют право получать на ознакомление только те персональные данные, которые необходимы для выполнения конкретных функций, поручений, своих должностных обязанностей.
4.9.В случае обращения с запросом лица, не уполномоченного в соответствии с нормативными правовыми актами на получение персональных данных, либо отсутствия письменного согласия субъекта персональных данных на предоставление его персональных данных третьей стороне, либо отсутствия угрозы жизни и здоровью субъекта персональных данных оператор обязан отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации.
4.10.При передаче персональных данных оператор обязан предупредить в установленном порядке лиц, получающих персональные данные субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
4.11.При привлечении по договору к работам по обработке и (или) защите персональных данных сторонних юридических и (или) физических лиц обязательным условием допуска к проведению таких работ является подписание обязательства о неразглашении информации с лицами, проводящими работы.
4.12.При направлении третьей стороне документов, содержащих персональные данные, или выписок из них необходимо руководствоваться общим порядком обращения с документированной информацией, содержащей служебную информацию ограниченного распространения, определенным Инструкцией о порядке обращения со служебной информацией ограниченного распространения в Правительстве области, утвержденной постановлением Губернатора области от 16 мая 2012 года N 256.
4.13.Трансграничная передача персональных данных на территорию иностранных государств может осуществляться оператором в соответствии со статьей 12 Федерального закона N 152-ФЗ.
V.Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
5.1.Лицо, осуществляющее хранение персональных данных, выполняет систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
5.2.Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии по защите информации (далее - Комиссия), состав которой утверждается приказом Департамента.
По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем, членами Комиссии и утверждается руководителем Департамента.
5.3.Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание), или путем уничтожения материального носителя. Бумажные носители персональных данных уничтожаются путем сжигания или измельчения до степени, исключающей возможность прочтения текста.
5.4.По окончании процедуры уничтожения Комиссией составляется соответствующий Акт об уничтожении носителя персональных данных (приложение к Положению).