Приложение к приказу

Счетной палаты Красноярского края

от 14.09.2012 № 47

 

Положение об обработке персональных данных
Счетной палаты Красноярского края

 

1. Общие положения

1.1. Настоящее Положение об обработке персональных данных (далее - Положение) Счетной палаты Красноярского края (далее - Счетная палата) разработано в соответствии с Конституцией Российской Федерации, гражданским кодексом Российской Федерации, гл. 14 Трудового кодекса Российской Федерации, Федеральным законом от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Указом Президента РФ от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего российской федерации и ведении его личного дела», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказом ФСТЭК РФ, ФСБ РФ, Минкомсвязи РФ от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных», Уставным законом Красноярского края от 31.03.2011 № 12-5718 «О Счетной палате Красноярского края».

1.2. Положение определяет порядок и условия обработки персональных данных в Счетной палате Красноярского края с использованием средств автоматизации и без использования таких средств.

1.3. Цель разработки Положения - установление единого порядка обработки персональных данных, полученных Счетной палатой от субъекта персональных данных, при выполнении функций органа государственного финансового контроля, при заключении гражданско-правового договора, при рассмотрении обращений граждан, от физического лица, претендующего на замещение вакантной должности в кадровом резерве, от соискателя на замещение вакантной должности, от субъекта персональных данных, состоящего со Счетной палатой в отношениях, регулируемых трудовым законодательством (далее - работники).

1.4. Настоящее Положение является локально – нормативным актом Счетной палаты и вступает в силу с момента его утверждения председателем Счетной палаты.

1.5. Все сотрудники Счетной палаты, в должностные обязанности которых входит обработка и защита персональных данных, должны быть ознакомлены с настоящим Положением и изменениями к нему под роспись.

1.6. Требования Положения не распространяются на сведения, отнесенные в установленном порядке к государственной тайне, в отношении которых применяются положения законодательства Российской Федерации
о государственной тайне.

 

2. Термины и определения

2.1. В целях настоящего Положения используются следующие понятия:

2.1.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.1.2. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.1.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.1.4. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.1.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.1.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.1.7. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.1.8. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

 

3. Конфиденциальность персональных данных

3.1. В соответствии с п.1 Указа Президента РФ от 06.03.1997 № 188 «Перечень сведений конфиденциального характера» - сведения позволяющие идентифицировать личность гражданина (персональные данные) являются конфиденциальными.

3.1.2. Персональные данные работника Счетной палаты в соответствии с Положением о конфиденциальности информации и Перечнем сведений конфиденциального характера отнесены к категории конфиденциальной информации.

3.1.2. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных».

3.1.3. Режим конфиденциальности персональных данных работников снимается в случаях их обезличивания или по истечении 75 лет срока их хранения.

 

4. Обработка персональных данных

4.1. Обработка персональных данных должна осуществляться на законной и справедливой основе. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

4.2. Целью обработки персональных данных является - соблюдение действующего законодательства, реализация полномочий органа государственного финансового контроля, ведение бухгалтерского и кадрового учета, а также содействие субъектам персональных данных в обучении (повышении квалификации), продвижении по государственной гражданской службе, выполнении своих должностных обязанностей.

4.3. Обработка персональных данных допускается в следующих случаях:

4.3.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

4.3.2. Обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Счетную палату функций, полномочий и обязанностей.

4.3.3. Когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

4.4. Категории субъектов персональных данных:

4.4.1. Работники, состоящие в трудовых отношениях со Счетной палатой.

4.4.2. Физические и юридические лица, в отношении которых проводятся контрольные и проверочные мероприятия.

4.4.3. Физические лица, претендующие на замещение вакантных должностей в кадровом резерве, соискатели на замещение вакантных должностей.

4.4.4. Физические лица, предоставляющие свои данные, при рассмотрении обращений граждан.

4.4.5. Субъекты персональных данных, состоящие в договорных и иных гражданско-правовых отношениях со Счетной палатой Красноярского края.

4.5. Перечень персональных данных, обрабатываемых Счетной палатой, включают в себя данные, полученные при осуществлении трудовых отношений, полученные для проведения конкурса на замещения вакантных должностей, в том числе в кадровый резерв, данные полученные для реализации полномочий органа государственного финансового контроля при проведении контрольных мероприятий, данные полученные при осуществлении гражданско-правовых отношений, а также данные полученные при рассмотрении обращений граждан.

4.5.1. Обработка персональных данных в Счетной палате Красноярского края осуществляется в соответствии с Перечнем персональных данных Счетной палаты Красноярского края, утвержденным председателем.

4.6. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

4.7. Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

подпись субъекта персональных данных.

4.8. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни,
не допускается, за исключением случаев, предусмотренных действующим законодательством РФ.

4.9. Передача персональных данных третьим лицам осуществляется в следующих случаях:

субъект дал согласие на передачу своих персональных данных;

передача осуществляется в рамках установленной законодательством процедуры.

Передача персональных данных возможна следующим третьим лицам:

Пенсионный фонд РФ (в соответствии с законодательством).

Налоговые органы РФ (в соответствии с законодательством).

Банки для начисления заработной платы (на основании договора).

Законодательное собрание Красноярского края (в соответствии с законодательством).

Правительство Красноярского края (в соответствии с законодательством).

Правоохранительные, надзорные и контрольные органы РФ (в соответствии с законодательством).

4.10. Хранение персональных данных и условия прекращения их обработки.

Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.

Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах. Персональные данные на электронных носителях хранятся с обеспечением защиты от несанкционированного доступа путем применения технических мер.

Не допускается хранение и размещение документов, содержащих персональные данные в открытых электронных каталогах.

4.11. Уничтожение персональных данных.

Уничтожение документов (носителей), содержащих персональные данные производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

Уничтожение производится комиссией, назначенной приказом председателя Счетной палаты. Факт уничтожения персональных данных подтверждается актом об уничтожении носителей, подписанным членами комиссии.

 

5. Защита персональных данных

5.1. В соответствии с требованиями нормативных документов в Счетной палате создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

5.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

5.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати и рекламной деятельности, аналитической работы.

5.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

5.5. Основными мерами защиты персональных данных, используемыми Счетной палатой, являются:

5.5.1. Назначение лиц ответственных за обработку персональных данных, которые осуществляют организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением работниками требований к защите персональных данных.

5.5.2. Определение актуальных угроз безопасности персональных данных при их обработке в ИСПДн, и разработка мер и мероприятий по защите персональных данных.

5.5.3. Разработка политики в отношении обработки персональных данных.

5.5.4. Установление правил доступа к персональных данных, обрабатываемым в ИСПДн, а также обеспечения регистрации и учета всех действий, совершаемых с персональных данных в ИСПДн.

5.5.5. Назначение индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

5.5.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

5.5.7. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающие несанкционированный к ним доступ.

5.5.8. Обнаружение фактов несанкционированного доступа к персональным данным и принятия мер.

5.5.9. Сертифицированный межсетевой экран.

5.5.10. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5.5.11. Ознакомление работников Счетной палаты, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Счетной палаты в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;

5.5.12. Осуществление внутреннего контроля за принимаемыми мерами
по обеспечению безопасности персональных данных.

 

6. Основные права субъекта персональных данных и обязанности оператора

6.1. Основные права субъекта персональных данных.

6.1.1. Субъект имеет право на доступ к его персональным данным и следующим сведениям:

подтверждение факта обработки персональных данных оператором.

правовые основания и цели обработки персональных данных.

цели и применяемые оператором способы обработки персональных данных.

наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона.

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом.

сроки обработки персональных данных, в том числе сроки их хранения.

порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом.

информацию об осуществляемой или о предполагаемой трансграничной передаче данных.

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

6.1.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.1.3. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью
в соответствии с законодательством Российской Федерации.

6.1.4. В случае, если сведения были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос
в целях получения сведений, не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом.

6.1.5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений до истечения срока, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, должен содержать обоснование направления повторного запроса.

6.2. Обязанности Оператора

Оператор обязан:

6.2.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную п. 6.1.1.

6.2.2. Если предоставление персональных данных является обязательным в соответствии с Федеральным законом «О персональных данных», оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

6.2.3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных федеральным законодательством, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные Федеральным законом «О персональных данных» права субъекта персональных данных;

5) источник получения персональных данных.

6.2.4. Предоставить информацию по персональным данным при обращении субъекта персональных данных или его представителя в течение тридцати дней с даты получения запроса.

6.2.5. В случае отказа в предоставлении информации, дать в письменной форме мотивированный ответ, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя, либо с даты получения запроса.

6.2.6. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

6.2.7. Сообщить в уполномоченный орган по защите прав субъектов персональных данных, по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

6.2.8. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

6.2.9. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

 

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников

7.1. Работники Счетной палаты, ответственные за обработку и хранение персональных данных, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

 

8. Заключительные положения

8.1. Положение об обработке персональных данных Счетной палаты должно быть пересмотрено при изменении Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных» и иных нормативных правовых актов Российской Федерации в области персональных данных.

8.2. Все изменения в действующую редакцию Положения вносятся приказом председателя Счетной палаты Красноярского края.