Приложение

к Приказу департамента

бюджетного учета

Администрации Приморского края

от 09 января 2014 года № 14

 

 

 

ПОЛОЖЕНИЕ

о порядке обработки и обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных в департаменте бюджетного учета Администрации Приморского края

 

 

Общие положения

 

1.1. Настоящим Положением определяются цели, содержание и порядок обработки и обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации и без использования средств автоматизации.

1.2. Настоящее Положение разработано в соответствии с действующим законодательством Российской Федерации в области обработки и обеспечения безопасности персональных данных.

1.3. В настоящем Положении используются следующие основные понятия:

1.3.1. Персональные данные - любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

1.3.2. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. 1.3.3. Информационная система персональных данных (далее - Информационная система) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

1.3.4. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных, или наличия иного законного согласования. 1.3.5. Распространение персональных данных - действия, направленные на передачу персональных данных определённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

1.3.6. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

1.3.7. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

1.3.8. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных физических лиц или в результате которых уничтожаются материальные носители персональных данных.

1.3.9. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

1.3.10. Обработка персональных данных без использования средств автоматизации – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

1.3.11. Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

1.3.12. Оператор – государственный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав (содержание) персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.3.13. Специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.

2. Порядок обработки персональных данных

2.1. Персональные данные государственных гражданских служащих органов исполнительной власти Приморского края, ведение бюджетного учета которых осуществляет департамент бюджетного учета Администрации Приморского края (далее – Департамент), обрабатываются в целях исполнения положений законодательства Российской Федерации при прохождении государственной гражданской службы, исполнения должностных обязанностей, обеспечения установленных законодательством Российской Федерации трудовых условий и оплаты труда, гарантий и компенсаций.

2.2. Обработка персональных данных в Информационных системах должна осуществляться на основе следующих принципов:

- законности целей и способов обработки персональных данных и добросовестности;

- соответствия целей обработки персональных данных целям, заранее определённым и заявленным при сборе персональных данных, а также полномочиям оператора;

- соответствия объёма и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

2.3. В целях, указанных в пунктах 2.1. и 2.2. настоящего Положения в Департаменте обрабатываются следующие категории персональных данных субъектов персональных данных (в зависимости от целей обработки персональных данных):

2.3.1. Фамилия, имя отчество;

2.3.2. Число, месяц, год рождения;

2.3.3. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

2.3.4. Адрес места жительства (адрес регистрации, адрес фактического проживания);

2.3.5. Реквизиты свидетельства государственной регистрации актов гражданского состояния;

2.3.6. Семейное положение, сведения о детях;

2.3.7. Сведения о трудовой деятельности;

2.3.8. Иные персональные данные, необходимые для достижения целей, предусмотренных пунктами 2.1 и 2.2. настоящего Положения.

2.4. Биометрические персональные данные Департаментом не обрабатываются, из специальных категорий персональных данных могут обрабатываться только данные о состоянии здоровья субъекта персональных данных.

2.5. Обработка персональных данных в Департаменте осуществляется на автономных автоматизированных рабочих местах, а также без использования средств автоматизации (на бумажных носителях).

2.6. Уполномоченным лицам, имеющим право осуществлять обработку персональных данных, предоставляется уникальный логин и пароль для доступа к соответствующему автоматизированному рабочему месту, в установленном порядке. Доступ предоставляется в соответствии с функциями, предусмотренными должностными регламентами.

Информация может вноситься как в автоматическом режиме - при уточнении, извлечении, использовании и передаче на машиночитаемом носителе информации, так и в ручном режиме - при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять её автоматическую регистрацию.

2.7. Обработка персональных данных в Информационных системах Департамента осуществляется только с согласия субъекта персональных данных в письменной форме (Приложение № 1), за исключением случаев, предусмотренных федеральными законами, предусматривающими обязательное предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, а именно:

- обработка персональных данных осуществляется на основании федерального закона, устанавливающего её цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

- обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

2.8. Передача (распространение, предоставление) и использование персональных данных осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

2.9. Оператор, получающий доступ к персональным данным, должен обеспечивать конфиденциальность таких данных, за исключением случаев:

- обезличивания персональных данных;

- в отношении общедоступных персональных данных.

2.10. В случае возникновения необходимости получения персональных данных у третьей стороны, следует известить об этом субъекта персональных данных, заранее получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.

2.11. Субъект персональных данных имеет право на получение сведений об обработке своих персональных данных в Информационных системах, а оператор обязан их предоставить в соответствии со статьями 14 и 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

2.12. Передача (распространение, предоставление) и использование персональных данных осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

3. Основные меры по обеспечению безопасности персональных данных

3.1. Обеспечение безопасности персональных данных достигается путём исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

3.1.1. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, установленных законодательством Российской Федерации;

3.1.2. Обеспечение работоспособного функционирования компьютерной техники с персональными данными в соответствии с эксплуатационной и технической документацией компьютерной техники и с учётом технических требований и средств защиты информации;

3.1.3. Обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после её извлечения и принятие мер;

3.1.4. Восстановление персональных данных, модифицированных или удалённых, уничтоженных вследствие несанкционированного доступа к ним;

3.1.5. Установление правил доступа к персональным данным, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными;

3.1.6. Контроль за применяемыми мерами по обеспечению безопасности персональных данных;

3.1.7. Учёт лиц, допущенных к работе с персональными данными в Информационной системе;

3.1.8. Контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.

3.1.9. В случае выявления нарушений порядка обработки персональных данных, уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

4. Особенности обработки персональных данных, осуществляемых без использования средств автоматизации

4.1. Персональные данные при их обработке, осуществляемой неавтоматизированным способом, должны обособляться от иной информации фиксацией их на отдельных материальных носителях персональных данных (далее - Материальные носители).

4.2. При фиксации персональных данных на Материальных носителях не допускается фиксация на одном Материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

4.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

4.3.1. Типовая форма или связанные с ней документы (инструкция по её заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой неавтоматизированным способом; имя (наименование) и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных.

4.3.2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своём согласии на обработку персональных данных, осуществляемую неавтоматизированным способом.

4.3.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.

4.3.4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

4.3.5. Копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается.

4.4. Обработка персональных данных, осуществляемая неавтоматизированным способом, должна производиться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (Материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.

4.5. Необходимо обеспечивать раздельное хранение персональных данных (Материальных носителей), обработка которых осуществляется в различных целях.

5. Сроки обработки и условия хранения персональных данных

5.1. Сроки обработки и хранения персональных данных определяются в соответствии с законодательством Российской Федерации.

5.2. Документы и Материальные носители, содержащие персональные данные, должны храниться в служебных помещениях в надёжно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

5.3. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, осуществляют ответственные за организацию обработки персональных данных и информационную безопасность.

5.4. Ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, временного сроков хранения.

5.5. Документы, выделенные к уничтожению, не подлежащие хранению, рассматриваются на заседании экспертной комиссии (ЭК) Департамента.

5.6. Согласованные ЭК акты о выделении к уничтожению утверждаются директором департамента, после чего документы могут быть комиссионно уничтожены.

6. Обязанности лиц, имеющих доступ к персональным данным

6.1. Ответственность за обеспечение безопасности персональных данных и надлежащий режим работы Информационных систем Департамента возлагается на уполномоченных должностных лиц, ответственных за организацию обработки персональных данных и информационную безопасность.

6.2. Создание системы защиты персональных данных, обрабатываемых в Информационных системах Департамента, должно проводиться во взаимодействии с департаментом информатизации и телекоммуникаций Приморского края и департаментом по защите государственной тайны, информационной безопасности и мобилизационной подготовке Приморского края.

6.3. Ответственные за организацию обработки персональных данных и информационную безопасность в Департаменте назначаются приказом директора департамента из числа государственных гражданских служащих, в соответствии с распределением обязанностей. Списки лиц, уполномоченных на обработку персональных данных в Информационных системах, утверждаются соответствующим приказом директора департамента.

6.4.Уполномоченные сотрудники, допущенные к обработке персональных данных в обязательном порядке должны под роспись ознакомиться с настоящим Положением и подписать Обязательство о неразглашении информации, содержащей персональные данные (Приложение № 2).

6.5. В своей работе сотрудники, допущенные к обработке персональных данных в Информационных системах Департамента, должны руководствоваться требованиями федеральных законов, нормативных правовых документов Правительства Российской Федерации, Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства связи и массовых коммуникаций Российской Федерации в области персональных данных и настоящим Положением.
6.6. Ответственные за организацию обработки персональных данных и информационную безопасность должны осуществлять контроль за соблюдением установленного регламентирующими документами режима при обработке персональных данных в Информационных системах Департамента, и пресекать действия своих сотрудников и других лиц, которые могут привести к утечке или уничтожению персональных данных, сообщать о фактах таких действий в департамент по защите государственной тайны, информационной безопасности и мобилизационной подготовки Приморского края.

6.7. В случае выявления нарушений порядка обработки персональных данных, ответственными за организацию обработки персональных данных незамедлительно принимаются меры по установлению причин нарушений и их устранению.

6.8. За нарушение норм настоящего Положения, а также федеральных законов, регламентирующих порядок обработки и обеспечения безопасности персональных данных, сотрудники, допущенные к работе с персональными данными в Информационных системах, несут гражданско-правовую, административную, уголовную и дисциплинарную ответственность в соответствии с действующим законодательством.

 

____________________________

 

 

Приложение № 1

 

к Положению о порядке обработки и обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных в департаменте бюджетного учета Администрации Приморского края

 

СОГЛАСИЕ
на обработку персональных данных

Я,                                                                                                                                                   ,

фамилия, имя, отчество

проживающий по адресу (по месту регистрации) 

 

 

 

паспорт

 

 

дата выдачи

 

название выдавшего

органа                                                                                                                                                 , в

 

соответствии с требованиями статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных”, даю свое согласие  департаменту бюджетного учета Администрации Приморского края на автоматизированную, а также без использования средств автоматизации, обработку моих персональных данных, включающих фамилию, имя, отчество, должность, сведения о месте работы, адрес электронной почты, контактный(е) телефон(ы), страховой номер индивидуального лицевого счета в Пенсионном фонде России на автоматизированную, а также без использования средств автоматизации, обработку моих персональных данных, включающих фамилию, имя, отчество, должность, сведения о месте работы, адрес электронной почты, контактный(е) телефон(ы), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), адрес места жительства (адрес регистрации, адрес фактического проживания), банковские реквизиты для перечисления заработной платы (других выплат), сведения о трудовой деятельности, ИНН
 
в целях__________________________________________________________________________Предоставляю департаменту бюджетного учета Администрации Приморского края право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение.

Срок действия настоящего согласия – период времени до истечения установленных нормативными актами сроков хранения соответствующей информации или документов.

Настоящее согласие на обработку персональных данных может быть отозвано в порядке, установленном Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных». В случае отзыва согласия на обработку моих персональных данных департаменту бюджетного учета Администрации Приморского края вправе не прекращать их обработку до окончания срока действия настоящего согласия.

Контактный(е) телефон(ы) 

 

Подпись субъекта персональных данных

 

 

 

 

подпись

 

Ф.И.О.

 

 

 

 

20

 

г.

 

 

 

 

 

 

 

 

Приложение № 2

 

к Положению о порядке обработки и обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных в департаменте бюджетного учета Администрации Приморского края

 

 

 

 

Обязательство о неразглашении информации,
содержащей персональные данные

 

 

Я, ______________________________________________________________________,

                                                                               (фамилия, имя, отчество)

 

обязуюсь не разглашать полученные при исполнении мной должностных обязанностей сведения, касающиеся субъектов персональных данных.

Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных.

В связи с этим, даю обязательство, при работе с персональными данными соблюдать требования, описанные в Положении о порядке обработки и обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных в департаменте бюджетного учета Администрации Приморского края.

В случае попытки посторонних лиц получить от меня сведения, составляющие персональные данные субъектов, обязуюсь немедленно сообщить директору департамента бюджетного учета Администрации Приморского края.

Я предупрежден(а) о том, что в случае разглашения или утраты мною сведений, касающихся субъектов персональных данных, я несу ответственность и могу быть привлечен(а) к материальной, гражданско-правовой, административной и уголовной ответственности в соответствии с действующим законодательством Российской Федерации в случае нарушения данного обязательства.

С Положением о порядке обработки и обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных в департаменте бюджетного учета Администрации Приморского края ознакомлен(а).

Обязуюсь прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта.

В соответствии со статьей 7 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

Ответственность, предусмотренная законодательством Российской Федерации, мне разъяснена.

 

_____________ ____________________  _______________________
                                      (дата)                                                      (подпись)                                                                      (расшифровка подписи)