Основная информация
| Дата опубликования: | 03 апреля 2013г. |
| Номер документа: | RU45000201301189 |
| Текущая редакция: | 2 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Курганская область |
| Принявший орган: | Управление записи актов гражданского состояния Курганской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
Приказ
Управления записи актов гражданского состояния Курганской области
от 3 апреля 2013 года №31
О порядке обработки персональных данных (обезличиванию обрабатываемых персональных данных) и исполнения запросов по персональным данным в Управлении записи актов гражданского состояния Курганской области
(с изменениями от 19 сентября 2013 года)
г. Курган
(ПРИЗНАН УТРАТИВШИМ СИЛУ:
Приказ Управления записи актов гражданского состояния Курганской области от 05.03.2015г. № 14: НГР RU45000201500131)
(ИЗМЕНЕНИЯ И ДОПОЛНЕНИЯ:
Приказ Управления записи актов гражданского состояния Курганской области от 19.09.2013г. № 84: НГР RU45000201301190)
В соответствии с пунктом 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденным постановлением Правительства Российской Федерации от 21.03.2012 № 211, для установления порядка обработки персональных данных (обезличиванию обрабатываемых персональных данных) и исполнения запросов по персональным данным в Управлении записи актов гражданского состояния Курганской области
ПРИКАЗЫВАЮ:
1. Утвердить Правила работы с обезличенными персональными данными в Управлении записи актов гражданского состояния Курганской области согласно приложению 1 к настоящему приказу.
2. Утвердить Правила рассмотрения запросов субъектов персональных данных или их представителей в Управлении записи актов гражданского состояния Курганской области согласно приложению 2 к настоящему приказу.
3. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении записи актов гражданского состояния Курганской области согласно приложению 3 к настоящему приказу.
4. Контроль за исполнением настоящего приказа оставляю за собой.
Начальник Управления записи актов
гражданского состояния Курганской области Л.А. Кудимова
Приложение 1 к приказу
Управления записи актов гражданского
состояния Курганской области
от 03.04.2013 № 31
«О порядке обработки персональных данных
(обезличиванию обрабатываемых персональных данных)
и исполнения запросов по персональным данным в
Управлении записи актов гражданского
состояния Курганской области»
Правила работы с обезличенными персональными данными в Управлении записи актов гражданского состояния Курганской области
1. Общее положение
1. Настоящие Правила работы с обезличенными персональными данными в Управлении записи актов гражданского состояния Курганской области (далее - Правила) разработаны с учетом Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Федеральный закон) и постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
2. Настоящие Правила определяют порядок работы с обезличенными данными в Управлении записи актов гражданского состояния Курганской области (далее – Управление).
2. Термины и определения
3. В соответствии с Федеральным законом:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
3. Условия обезличивания
4. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Управления и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Способы обезличивания при условии дальнейшей обработки персональных данных:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение – понижение точности некоторых сведений;
- понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
- деление сведений на части и обработка в разных информационных системах;
- другие способы.
6. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
7. Для обезличивания персональных данных годятся любые способы не запрещенные законодательством.
8. Перечень должностей государственных гражданских служащих Управления, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается приказом Управления.
8.1. Начальник Управления принимает решение о необходимости обезличивания персональных данных;
8.2 Руководители структурных подразделений, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания;
8.3. Сотрудники структурных подразделений, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
4. Порядок работы с обезличенными персональными данными
9. Обезличенные персональные данные не подлежат разглашению.
(Пункт 9 приложения 1 изложен в редакции приказа Управления записи актов гражданского состояния Курганской области от 19.09.2013г. № 84: НГР RU45000201301190)
10. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
11. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используется);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
12. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся.
Приложение 2 к приказу
Управления записи актов гражданского
состояния Курганской области
от 03.04.2013 № 31
«О порядке обработки персональных данных
(обезличиванию обрабатываемых персональных данных)
и исполнения запросов по персональным данным в
Управлении записи актов гражданского
состояния Курганской области»
Правила рассмотрения запросов субъектов персональных данных или их представителей в Управлении записи актов гражданского состояния Курганской области
1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Федерального закона от 27.07.2006 №152-ФЗ (далее - Федеральный закон), за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона. Субъект персональных данных вправе требовать от Управления записи актов гражданского состояния Курганской области (далее - оператор) уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении, либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее, чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 4 настоящих правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 3 настоящих правил, должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям предусмотренным пунктами 4 и 5 настоящих правил согласно Федерального закона. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Федеральными законами, в том числе если:
7.1. обработка персональных данных, включая персональные данные полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
7.2. обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно - процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
7.3. обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
7.4. доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
7.5. обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
8. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных.
8.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных или его представителя.
8.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона или иного Федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
8.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лип, которым персональные данные этого субъекта были переданы.
8.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.
Приложение 3 к приказу
Управления записи актов гражданского
состояния Курганской области
от 03.04.2013 № 31
«О порядке обработки персональных данных
(обезличиванию обрабатываемых персональных данных)
и исполнения запросов по персональным данным в
Управлении записи актов гражданского
состояния Курганской области»
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении записи актов гражданского состояния Курганской области
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении записи актов гражданского состояния Курганской области (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Управлении записи актов гражданского состояния Курганской области (далее – Управление) организовывается проведение периодических проверок условий обработки персональных данных.
5. Проверки осуществляются ответственным за организацию обработки персональных данных в Управлении либо комиссией, образуемой приказом начальника Управления.
В проведении проверки не может участвовать гражданский служащий, прямо или косвенно заинтересованный в её результатах.
6. Проверки соответствия обработки персональных данных установленным требованиям в Управлении проводятся не реже одного раза в год или на основании поступившего в Управление письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления,
7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
7.1. порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
7.2. порядок и условия применения средств защиты информации;
7.3. эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
7.4. состояние учета машинных носителей персональных данных;
7.5. соблюдение правил доступа к персональным данным;
7.6. наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7.7. мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7.8. осуществление мероприятий по обеспечению целостности персональных данных.
8. Ответственный за организацию обработки персональных данных в Управлении (комиссия) имеет право:
8.1. запрашивать у сотрудников Управления информацию, необходимую для реализации полномочий;
8.2. требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
8.3. принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
8.4. вносить начальнику Управления предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
8.5. вносить начальнику Управления предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
9. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в Управлении (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
10. Проверка должна быть завершена не позднее, чем через месяц со дня принятия решения о её проведении.
В течение пяти рабочих дней со дня окончания проверки ответственный за организацию обработки персональных данных либо председатель комиссии докладывает о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, начальнику Управления в форме письменного заключения.
Начальник Управления по результатам проведенной проверки в течении двух рабочих дней принимает одно из следующих решений:
- о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных;
- об отсутствии оснований для привлечения к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных;
- о представлении материалов проверки в комиссию при Управлении по соблюдению требований к служебному поведению государственных гражданских служащих и урегулированию конфликта интересов.
(Пункт 10 приложения 3 изложен в редакции приказа Управления записи актов гражданского состояния Курганской области от 19.09.2013г. № 84: НГР RU45000201301190)
11. Начальник Управления, назначивший внеплановую проверку, обязан контролировать своевременность и правильность её проведения.
Приказ
Управления записи актов гражданского состояния Курганской области
от 3 апреля 2013 года №31
О порядке обработки персональных данных (обезличиванию обрабатываемых персональных данных) и исполнения запросов по персональным данным в Управлении записи актов гражданского состояния Курганской области
(с изменениями от 19 сентября 2013 года)
г. Курган
(ПРИЗНАН УТРАТИВШИМ СИЛУ:
Приказ Управления записи актов гражданского состояния Курганской области от 05.03.2015г. № 14: НГР RU45000201500131)
(ИЗМЕНЕНИЯ И ДОПОЛНЕНИЯ:
Приказ Управления записи актов гражданского состояния Курганской области от 19.09.2013г. № 84: НГР RU45000201301190)
В соответствии с пунктом 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденным постановлением Правительства Российской Федерации от 21.03.2012 № 211, для установления порядка обработки персональных данных (обезличиванию обрабатываемых персональных данных) и исполнения запросов по персональным данным в Управлении записи актов гражданского состояния Курганской области
ПРИКАЗЫВАЮ:
1. Утвердить Правила работы с обезличенными персональными данными в Управлении записи актов гражданского состояния Курганской области согласно приложению 1 к настоящему приказу.
2. Утвердить Правила рассмотрения запросов субъектов персональных данных или их представителей в Управлении записи актов гражданского состояния Курганской области согласно приложению 2 к настоящему приказу.
3. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении записи актов гражданского состояния Курганской области согласно приложению 3 к настоящему приказу.
4. Контроль за исполнением настоящего приказа оставляю за собой.
Начальник Управления записи актов
гражданского состояния Курганской области Л.А. Кудимова
Приложение 1 к приказу
Управления записи актов гражданского
состояния Курганской области
от 03.04.2013 № 31
«О порядке обработки персональных данных
(обезличиванию обрабатываемых персональных данных)
и исполнения запросов по персональным данным в
Управлении записи актов гражданского
состояния Курганской области»
Правила работы с обезличенными персональными данными в Управлении записи актов гражданского состояния Курганской области
1. Общее положение
1. Настоящие Правила работы с обезличенными персональными данными в Управлении записи актов гражданского состояния Курганской области (далее - Правила) разработаны с учетом Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Федеральный закон) и постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
2. Настоящие Правила определяют порядок работы с обезличенными данными в Управлении записи актов гражданского состояния Курганской области (далее – Управление).
2. Термины и определения
3. В соответствии с Федеральным законом:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
3. Условия обезличивания
4. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Управления и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Способы обезличивания при условии дальнейшей обработки персональных данных:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение – понижение точности некоторых сведений;
- понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
- деление сведений на части и обработка в разных информационных системах;
- другие способы.
6. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
7. Для обезличивания персональных данных годятся любые способы не запрещенные законодательством.
8. Перечень должностей государственных гражданских служащих Управления, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается приказом Управления.
8.1. Начальник Управления принимает решение о необходимости обезличивания персональных данных;
8.2 Руководители структурных подразделений, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания;
8.3. Сотрудники структурных подразделений, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
4. Порядок работы с обезличенными персональными данными
9. Обезличенные персональные данные не подлежат разглашению.
(Пункт 9 приложения 1 изложен в редакции приказа Управления записи актов гражданского состояния Курганской области от 19.09.2013г. № 84: НГР RU45000201301190)
10. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
11. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используется);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
12. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся.
Приложение 2 к приказу
Управления записи актов гражданского
состояния Курганской области
от 03.04.2013 № 31
«О порядке обработки персональных данных
(обезличиванию обрабатываемых персональных данных)
и исполнения запросов по персональным данным в
Управлении записи актов гражданского
состояния Курганской области»
Правила рассмотрения запросов субъектов персональных данных или их представителей в Управлении записи актов гражданского состояния Курганской области
1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Федерального закона от 27.07.2006 №152-ФЗ (далее - Федеральный закон), за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона. Субъект персональных данных вправе требовать от Управления записи актов гражданского состояния Курганской области (далее - оператор) уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении, либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее, чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 4 настоящих правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 3 настоящих правил, должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям предусмотренным пунктами 4 и 5 настоящих правил согласно Федерального закона. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Федеральными законами, в том числе если:
7.1. обработка персональных данных, включая персональные данные полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
7.2. обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно - процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
7.3. обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
7.4. доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
7.5. обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
8. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных.
8.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных или его представителя.
8.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона или иного Федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
8.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лип, которым персональные данные этого субъекта были переданы.
8.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.
Приложение 3 к приказу
Управления записи актов гражданского
состояния Курганской области
от 03.04.2013 № 31
«О порядке обработки персональных данных
(обезличиванию обрабатываемых персональных данных)
и исполнения запросов по персональным данным в
Управлении записи актов гражданского
состояния Курганской области»
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении записи актов гражданского состояния Курганской области
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении записи актов гражданского состояния Курганской области (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Управлении записи актов гражданского состояния Курганской области (далее – Управление) организовывается проведение периодических проверок условий обработки персональных данных.
5. Проверки осуществляются ответственным за организацию обработки персональных данных в Управлении либо комиссией, образуемой приказом начальника Управления.
В проведении проверки не может участвовать гражданский служащий, прямо или косвенно заинтересованный в её результатах.
6. Проверки соответствия обработки персональных данных установленным требованиям в Управлении проводятся не реже одного раза в год или на основании поступившего в Управление письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления,
7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
7.1. порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
7.2. порядок и условия применения средств защиты информации;
7.3. эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
7.4. состояние учета машинных носителей персональных данных;
7.5. соблюдение правил доступа к персональным данным;
7.6. наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7.7. мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7.8. осуществление мероприятий по обеспечению целостности персональных данных.
8. Ответственный за организацию обработки персональных данных в Управлении (комиссия) имеет право:
8.1. запрашивать у сотрудников Управления информацию, необходимую для реализации полномочий;
8.2. требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
8.3. принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
8.4. вносить начальнику Управления предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
8.5. вносить начальнику Управления предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
9. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в Управлении (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
10. Проверка должна быть завершена не позднее, чем через месяц со дня принятия решения о её проведении.
В течение пяти рабочих дней со дня окончания проверки ответственный за организацию обработки персональных данных либо председатель комиссии докладывает о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, начальнику Управления в форме письменного заключения.
Начальник Управления по результатам проведенной проверки в течении двух рабочих дней принимает одно из следующих решений:
- о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных;
- об отсутствии оснований для привлечения к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных;
- о представлении материалов проверки в комиссию при Управлении по соблюдению требований к служебному поведению государственных гражданских служащих и урегулированию конфликта интересов.
(Пункт 10 приложения 3 изложен в редакции приказа Управления записи актов гражданского состояния Курганской области от 19.09.2013г. № 84: НГР RU45000201301190)
11. Начальник Управления, назначивший внеплановую проверку, обязан контролировать своевременность и правильность её проведения.
Дополнительные сведения
| Рубрики правового классификатора: | 120.030.060 Информация о гражданах (персональные данные), 020.010.050 Органы исполнительной власти субъектов Российской Федерации |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
