Основная информация
Дата опубликования: | 15 апреля 2014г. |
Номер документа: | RU18000201401382 |
Текущая редакция: | 1 |
Статус нормативности: | Нормативный |
Субъект РФ: | Удмуртская Республика |
Принявший орган: | Министерство имущественных отношений Удмуртской Республики |
Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ
ПРИКАЗ
15 апреля 2014 года № 19
О МЕРАХ, НАПРАВЛЕННЫХ НА РЕАЛИЗАЦИЮ ФЕДЕРАЛЬНОГО ЗАКОНА ОТ 27 ИЮЛЯ 2006 ГОДА № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» В МИНИСТЕРСТВЕ ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Перечнем мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденным постановлением Правительства Российской Федерации от 21 марта 2012 года № 211, п р и к а з ы в а ю:
1. Утвердить прилагаемые:
Правила обработки персональных данных в Министерстве имущественных отношений Удмуртской Республики (приложение 1);
Правила рассмотрения запросов субъектов персональных данных или их представителей в Министерстве имущественных отношений Удмуртской Республики (приложение 2);
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве имущественных отношений Удмуртской Республики (приложение 3);
Порядок доступа государственных гражданских служащих, работающих в Министерстве имущественных отношений Удмуртской Республики, в помещения, в которых ведется обработка персональных данных (приложение 4);
Перечень должностей государственных гражданских служащих Министерства имущественных отношений Удмуртской Республики, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение 5);
Форму обязательства о неразглашении персональных данных (приложение 6).
2. Сотрудникам Министерства имущественных отношений Удмуртской Республики (далее – Министерство), имеющим доступ к персональным данным, обрабатываемым в Министерстве в своей деятельности руководствоваться требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
3. Начальникам отделов Министерства ознакомить подчиненных сотрудников с настоящим приказом.
4. Главному специалисту-эксперту отдела делопроизводства и кадровой работы Министерства Логинову С.А. разместить настоящий приказ на официальном сайте Министерства в информационно-телекоммуникационной сети «Интернет» в течение 3 дней после его утверждения.
5. Контроль за исполнением настоящего приказа возложить на первого заместителя министра имущественных отношений Удмуртской Республики В.Л. Наумова.
И.о. министра Р.Ш. Зайнуллин
Приложение 1 к приказу Минимущества Удмуртии от 15 апреля 2014 г. № 19
ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ
1. Настоящие Правила обработки персональных данных в Министерстве имущественных отношений Удмуртской Республики (далее – Министерство) определяют порядок обработки персональных данных в Министерстве в целях:
предотвращения неконтролируемого распространения информации, содержащей персональные данные, в результате ее разглашения сотрудником Министерства, имеющим доступ к такой информации, или получения несанкционированного доступа к информации конфиденциального характера;
предотвращения утраты, несанкционированного уничтожения, искажения, копирования информации, содержащей персональные данные;
соблюдения правового режима использования информации, содержащей персональные данные;
обеспечения возможности обработки и использования персональных данных сотрудниками Министерства, имеющими соответствующие полномочия;
установления ответственности сотрудников Министерства, осуществляющих обработку персональных данных, за невыполнение норм, регулирующих обработку и защиту персональных данных.
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральным законом от 02 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
3. Настоящие правила не распространяются на отношения по обработке персональных данных государственных гражданских служащих Министерства.
4. Вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, в настоящих Правилах не рассматриваются и регулируются законодательством о государственной тайне.
5. В настоящих Правилах используются основные понятия, установленные статьей 3 Федерального закона «О персональных данных».
6. В соответствии со статьей 3 Федерального закона «О персональных данных» Министерство является оператором, организующим и осуществляющим обработку персональных данных.
Обработка персональных данных в Министерстве осуществляется с использованием средств автоматизации (электронные носители персональных данных) и без использования средств автоматизации (бумажные носители персональных данных).
7. Обработка персональных данных осуществляется с согласия субъекта персональных данных, который самостоятельно принимает решение об их предоставлении в Министерство.
Обработка персональных данных возможна без согласия субъекта персональных данных в случаях, указанных в статье 6 Федерального закона «О персональных данных».
8. Субъектами персональных данных являются:
близкие родственники государственных гражданских служащих Министерства (супруг (-а), дети, родители);
граждане, претендующие на замещение должностей государственной гражданской службы в Министерстве, подавшие документы на участие в конкурсе;
лица, замещающие должности руководителей государственных унитарных предприятий Удмуртской Республики, государственных учреждений Удмуртской Республики;
представители Удмуртской Республики в органах управления хозяйственных обществ, акции (доли в уставном капитале) которых находятся в собственности Удмуртской Республики;
кадастровые инженеры, лица, прошедшие аттестацию на соответствие квалификационным требованиям, предъявляемым к кадастровым инженерам;
граждане, обратившиеся в Министерство с обращением (жалобой или заявлением);
иные граждане, персональные данные которых обрабатываются в Министерстве в связи с предоставлением государственных услуг и исполнением государственных функций.
9. Непосредственно обработку персональных данных в Министерстве осуществляют сотрудники Министерства, замещающие должности государственной гражданской службы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.
10. Сотрудниками Министерства обрабатываются следующие персональные данные:
1) анкетные и биографические данные, включая адрес места жительства и проживания;
2) сведения о гражданстве, паспортные данные или данные иного документа, удостоверяющего личность и гражданство (включая серию, номер, дату выдачи, наименование органа, выдавшего документ);
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовке;
5) сведения о составе семьи и наличии иждивенцев, о месте работы или учебы членов семьи;
6) сведения об отношении к воинской обязанности;
7) сведения о доходах, расходах, обязательствах имущественного характера;
8) сведения о страховом свидетельстве государственного пенсионного страхования;
9) сведения об идентификационном номере налогоплательщика;
10) сведения о социальных льготах и о социальном статусе;
11) сведения о судимости, о привлечении к уголовной, административной или иного вида ответственности;
12) сведения об имуществе (недвижимости, транспортных средствах и др.);
13) сведения о предпринимательской деятельности субъекта персональных данных и членов его семьи;
14) персональные данные лиц, на которых распространяются установленные законодательством запреты, ограничения и обязанности;
15) иные персональные данные, необходимые для осуществления Министерством функций и полномочий, предусмотренных законодательством.
11. Объем обрабатываемых персональных данных определяется сотрудниками Министерства самостоятельно, исходя из решаемых задач и полномочий в соответствии с законодательством и правовыми актами, регулирующими деятельность Министерства.
12. Обработка персональных данных допускается в случаях, предусмотренных Федеральным законом «О персональных данных», в том числе:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Министерство функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
13. Обработка персональных данных в Министерстве осуществляется на основе принципов, установленных статьей 5 Федерального закона «О персональных данных».
14. Мерами, направленными на обеспечение безопасности персональных данных при их обработке являются:
1) назначение ответственного за организацию обработки персональных данных в Министерстве;
2) издание правовых актов по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
4) распределение ответственности по вопросам защиты персональных данных между сотрудниками Министерства;
5) установление персональной ответственности сотрудников Министерства за обеспечением безопасности обрабатываемых персональных данных;
6) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных»;
7) своевременное выявление угроз безопасности персональных данных и принятием соответствующих мер защиты;
8) придание мероприятиям защиты информации характера обязательных элементов производственного процесса Министерства, а требованиям по их исполнению - элементов производственной дисциплины;
9) ознакомление сотрудников Министерства, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и (или) обучение указанных сотрудников;
10) резервное копирование информационных ресурсов;
11) применение программных продуктов, отвечающих требованиям защиты персональных данных;
12) учет машинных носителей персональных данных;
13) выявление фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
14) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
15) установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
16) своевременное применение критических обновлений общесистемного и прикладного программного обеспечения;
17) применение межсетевых защитных (фильтрующих) экранов;
18) использование антивирусных программных средств;
19) установление индивидуальных паролей доступа сотрудников Министерства в информационные системы персональных данных;
20) оборудование помещений системами безопасности;
21) применение контрольно-пропускного режима, видеонаблюдения на входе в здание, где расположены помещения, занимаемые Министерством.
15. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
16. На одном материальном носителе не допускается хранение персональных данных, цели обработки которых заведомо не совместимы.
17. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом.
18. Для хранения документов, содержащих персональные данные, используются помещения структурных подразделений Министерства.
Персональные данные на бумажных носителях хранятся в шкафах и сейфах.
Персональные данные в электронном виде хранятся на жестких дисках компьютеров сотрудников Министерства.
19. Внутренний доступ к персональным данным субъектов персональных данных имеют сотрудники Министерства, которым эти данные необходимы для выполнения должностных (служебных) обязанностей.
20. Внешний доступ со стороны третьих лиц к персональным данным субъекта персональных данных осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или других лиц, и иных случаев, установленных законодательством.
Министерство обязано сообщать персональные данные субъекта персональных данных по надлежаще оформленным запросам суда, прокуратуры, правоохранительных органов.
21. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения части персональных данных уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.
22. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих данных, но с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
23. Уточнение персональных данных при осуществлении их обработки производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
24. Передача персональных данных допускается только в случаях, установленных законодательством Российской Федерации.
Передача персональных данных не допускается с использованием средств телекоммуникационных каналов связи (телефон, телефакс, электронная почта и т.п.) без письменного согласия субъекта персональных данных, за исключением случаев, установленных законодательством Российской Федерации.
25. Министерство не осуществляет трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
26. Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах конфиденциальные данные, за исключением данных, содержащихся в материалах запроса или опубликованных в общедоступных источниках.
27. Министерство при обработке персональных данных обязано принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, копирования, распространения персональных данных, а также от иных неправомерных действий.
28. Ответственный за организацию обработки персональных данных в Министерстве, обязан:
1) осуществлять внутренний контроль за соблюдением сотрудниками Министерства законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения сотрудников Министерства положения законодательства Российской Федерации, Удмуртской Республики о персональных данных, правовых актов Министерства по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких запросов.
29. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Уничтожение персональных данных в случае достижения целей обработки персональных данных осуществляется в срок, не превышающий 30 (тридцати) дней с даты достижения целей обработки персональных данных.
Уничтожение персональных данных на бумажных носителях производится путем дробления (измельчения).
Персональные данные на электронных носителях уничтожаются путем форматирования носителя, без возможности последующего восстановления информации.
30. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных обработка персональных данных прекращается и персональные данные уничтожаются в срок, не превышающий три рабочих дня с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Министерством и субъектом персональных данных.
Об уничтожении персональных данных субъект персональных данных уведомляется не позднее трех рабочих дней со дня их уничтожения.
31. Сотрудники Министерства, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или его представителя, если иное не предусмотрено федеральным законом.
Сотрудники Министерства, осуществляющие обработку персональных данных, за нарушение установленного законодательством порядка сбора, хранения, использования или распространения персональных данных, обеспечение их информационной безопасности несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Приложение 2 к приказу Минимущества Удмуртии от 15 апреля 2014 г. № 19
ПРАВИЛА РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ В МИНИСТЕРСТВЕ ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ
1. Государственные гражданские служащие, работающие в Министерстве имущественных отношений Удмуртской Республики (далее – Министерство), граждане, претендующие на замещение должностей государственной гражданской службы в Министерстве, подавшие документы на участие в конкурсе, лица, замещающие должности руководителей государственных унитарных предприятий Удмуртской Республики, государственных учреждений Удмуртской Республики, представители Удмуртской Республики в органах управления хозяйственных обществ, акции (доли в уставном капитале) которых находятся в собственности Удмуртской Республики, кадастровые инженеры, лица, прошедшие аттестацию на соответствие квалификационным требованиям, предъявляемым к кадастровым инженерам, граждане, обратившиеся в Министерство с обращением (жалобой, заявлением), иные граждане, персональные данные которых обрабатываются в Министерстве в связи с предоставлением государственных услуг и осуществлением государственных функций (далее – субъекты персональных данных), имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных в Министерстве;
правовые основания и цели обработки персональных данных;
применяемые Министерством способы обработки персональных данных;
наименование и место нахождения Министерства, сведения о лицах (за исключением государственных гражданских служащих, работающих в Министерстве), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Министерством или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения в Министерстве;
порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка поручена или будет поручена такой организации или лицу;
иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
2. Субъект персональных данных вправе требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Сведения, указанные в пункте 1 настоящего Положения, предоставляются субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
4. Сведения, указанные в пункте 1 настоящего Положения, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом структурного подразделения Министерства, осуществляющим обработку соответствующих персональных данных при обращении субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя.
5. Запрос должен содержать:
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Министерством (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей государственной гражданской службы, оказание Министерством государственной услуги или осуществление государственной функции), либо сведения, иным образом подтверждающие факт обработки персональных данных в Министерстве, подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Законный представитель представляет в Министерство документ, подтверждающий его полномочия.
6. Запрос субъекта персональных данных должен быть рассмотрен в сроки, предусмотренные Федеральным законом «О персональных данных».
Ответ на запрос направляется субъекту персональных данных по адресу, указанному в запросе, при помощи заказной корреспонденции или вручается лично субъекту персональных данных или его законному представителю.
Ответ на запрос субъекта персональных данных может быть направлен посредством электронной почты, если это прямо указано в запросе.
7. Если запрос субъекта персональных данных связан с внесением изменений в персональные данные субъекта в связи с тем, что персональные данные являются неполными, устаревшими, недостоверными, то в таком запросе субъект персональных данных должен указать, какие именно персональные данные изменяются или уточняются.
Если для внесения изменений в персональные данные необходимы подтверждающие документы, то субъект персональных данных прикладывает к своему запросу об изменении персональных данных доказательства, на основании которых Министерство должно внести изменения или уточнить персональные данные.
В случае отсутствия доказательств, на которые ссылается субъект персональных данных, Министерство оставляет персональные данные в неизменном виде. Внесение изменений или уточнение персональных данных Министерством должны быть выполнены в сроки, предусмотренные Федеральным законом «О персональных данных».
8. Изменения, уничтожение или блокирование персональных данных соответствующего субъекта осуществляются Министерством на безвозмездной основе.
9. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Министерство или направить ему повторный запрос в целях ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является субъект персональных данных.
10. Субъект персональных данных вправе повторно обратиться в Министерство или направить повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 9 настоящих правил, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 5 настоящих Правил, должен содержать обоснование направления повторного запроса.
11. Министерство вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 10 настоящих Правил. Такой отказ должен быть мотивированным.
12. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
Приложение 3 к приказу Минимущества Удмуртии от 15 апреля 2014 г. № 19
ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве имущественных отношений Удмуртской Республики (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона «О персональных данных».
2. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Министерстве имущественных отношений Удмуртской Республики (далее – Министерство) организовывается проведение периодических проверок условий обработки персональных данных.
3. Проверки проводятся ответственным за организацию обработки персональных данных в Министерстве либо комиссией, образуемой приказом министра имущественных отношений Удмуртской Республики.
4. В проведении проверки не может участвовать сотрудник Министерства, прямо или косвенно заинтересованный в ее результатах.
5. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям (плановые проверки) или на основании поступившего в Министерство письменного заявления субъекта персональных данных о нарушениях правил обработки персональных данных (внеплановые проверки).
Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления заявления, указанного в абзаце первом настоящего пункта.
6. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
осуществление мероприятий по обеспечению целостности персональных данных.
7. Ответственный за организацию обработки персональных данных в Министерстве (комиссия) имеет право:
запрашивать у сотрудников Министерства информацию, необходимую для реализации полномочий;
требовать от сотрудников Министерства, непосредственно осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить министру имущественных отношений Удмуртской Республики предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке, а также предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных;
вносить министру имущественных отношений Удмуртской Республики предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
8. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в Министерстве (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
9. Проверка условий обработки персональных данных должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения о ее проведении.
10. По результатам проведенной проверки условий обработки персональных данных ответственный за организацию обработки персональных данных в Министерстве (председатель комиссии) представляет министру имущественных отношений Удмуртской Республики письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.
Приложение 4 к приказу Минимущества Удмуртии от 15 апреля 2014 г. № 19
ПОРЯДОК ДОСТУПА ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ, РАБОТАЮЩИХ В МИНИСТЕРСТВЕ ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ, В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящий Порядок доступа государственных гражданских служащих, работающих в Министерстве имущественных отношений Удмуртской Республики (далее – Министерство) в помещения, в которых ведется обработка персональных данных (далее - Порядок), устанавливает единые требования к доступу в служебные помещения в целях предотвращения нарушения прав субъектов персональных данных, обрабатываемых в Министерстве, и обеспечения соблюдения требований законодательства о персональных данных.
Настоящий Порядок обязателен для применения и исполнения всеми сотрудниками Министерства.
2. Персональные данные относятся к конфиденциальной информации. Должностные лица Министерства, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается в том числе установлением правил доступа в помещения, где обрабатываются персональные данные в информационной системе персональных данных и без использования средств автоматизации.
4. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
5. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только государственные гражданские служащие, работающие в Министерстве.
6. Помещения, в которых ведется обработка персональных данных, запираются на ключ. В нерабочее время ключи от помещений хранятся на стенде, расположенном в помещении бюро пропусков здания Дома Правительства Удмуртской Республики.
7. Вскрытие и закрытие помещений, в которых ведется обработка персональных данных, производится сотрудниками Министерства, имеющими право доступа в данные помещения.
8. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании рабочего времени сотрудники, имеющие право доступа в помещения, обязаны:
убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы (тумбочки столов);
отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;
закрыть окна.
9. Перед открытием помещений, в которых ведется обработка персональных данных, сотрудники, имеющие право доступа в помещения, обязаны провести внешний осмотр с целью установления целостности двери и замка.
При обнаружении неисправности двери и запирающих устройств сотрудники обязаны:
не вскрывая помещение, в котором ведется обработка персональных данных, доложить непосредственному руководителю;
в присутствии не менее двух иных сотрудников, включая непосредственного руководителя, вскрыть помещение и осмотреть его;
составить акт о выявленных нарушениях и передать его министру имущественных отношений Удмуртской Республики для организации служебного расследования.
10. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только сотрудники, непосредственно работающие в данном помещении.
Иные сотрудники Министерства имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии сотрудников, непосредственно работающих в данных помещениях.
11. При работе с информацией, содержащей персональные данные, двери помещений должны быть закрыты. Присутствие лиц, не имеющих права доступа к персональным данным, должно быть исключено.
12. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, обеспечивается лицом, ответственным за организацию обработки персональных данных в Министерстве имущественных отношений Удмуртской Республики.
Приложение 5 к приказу Минимущества Удмуртии от 15 апреля 2014 г. № 19
ПЕРЕЧЕНЬ ДОЛЖНОСТЕЙ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ МИНИСТЕРСТВА ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ, ЗАМЕЩЕНИЕ КОТОРЫХ ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО ОСУЩЕСТВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
Первый заместитель министра
Заместитель министра
Помощник министра
Начальник отдела
Заместитель начальника отдела
Консультант
Главный специалист-эксперт
Ведущий специалист-эксперт
Специалист-эксперт
Старший специалист 1 разряда
Приложение 6 к приказу Минимущества Удмуртии от 15 апреля 2014 г. № 19
ОБЯЗАТЕЛЬСТВО
о неразглашении персональных данных
Я,_____________________________________________________________
проживающий (ая) по адресу___________________________________________
____________________________________________________________________
зарегистрированный (ая) по адресу______________________________________
____________________________________________________________________
паспорт _________________ кем и когда выдан____________________________
____________________________________________________________________
ознакомлен(а) с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и приказом Минимущества Удмуртии от «___» _________ 20__ г. № «_________________________________________
___________________________________________________________________».
Я поставлен(а) в известность, что получаю доступ к обработке персональных данных в Министерстве.
В связи с этим я даю обязательство Министерству имущественных отношений Удмуртской Республики (г. Ижевск, ул. Пушкинская, д. 214):
о неразглашении и соблюдении установленного режима защиты персональных данных, ставших мне известными в связи с __________________
(исполнением должностных
__________________________________________________________________;
обязанностей, участием в работе аттестационной, конкурсной комиссии, прохождением практики)
о прекращении обработки персональных данных, ставших мне известными в связи с ________________________________________________
(исполнением должностных обязанностей, участием в работе
_________________________________________________________________,
аттестационной, конкурсной комиссии, прохождением практики)
в случае _________________________________________________________
(расторжения служебного контракта, прекращения договора)
Я предупрежден(а) о том, что в случае нарушения мною режима защиты персональных данных, установленного в Министерстве имущественных отношений Удмуртской Республики, я несу персональную ответственность в соответствии с законодательством.
С режимом защиты персональных данных, установленным в Министерстве имущественных отношений Удмуртской Республики, ознакомлен(а).
«_____»_____________20__ г. ____________
(подпись)
МИНИСТЕРСТВО ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ
ПРИКАЗ
15 апреля 2014 года № 19
О МЕРАХ, НАПРАВЛЕННЫХ НА РЕАЛИЗАЦИЮ ФЕДЕРАЛЬНОГО ЗАКОНА ОТ 27 ИЮЛЯ 2006 ГОДА № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» В МИНИСТЕРСТВЕ ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Перечнем мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденным постановлением Правительства Российской Федерации от 21 марта 2012 года № 211, п р и к а з ы в а ю:
1. Утвердить прилагаемые:
Правила обработки персональных данных в Министерстве имущественных отношений Удмуртской Республики (приложение 1);
Правила рассмотрения запросов субъектов персональных данных или их представителей в Министерстве имущественных отношений Удмуртской Республики (приложение 2);
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве имущественных отношений Удмуртской Республики (приложение 3);
Порядок доступа государственных гражданских служащих, работающих в Министерстве имущественных отношений Удмуртской Республики, в помещения, в которых ведется обработка персональных данных (приложение 4);
Перечень должностей государственных гражданских служащих Министерства имущественных отношений Удмуртской Республики, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение 5);
Форму обязательства о неразглашении персональных данных (приложение 6).
2. Сотрудникам Министерства имущественных отношений Удмуртской Республики (далее – Министерство), имеющим доступ к персональным данным, обрабатываемым в Министерстве в своей деятельности руководствоваться требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
3. Начальникам отделов Министерства ознакомить подчиненных сотрудников с настоящим приказом.
4. Главному специалисту-эксперту отдела делопроизводства и кадровой работы Министерства Логинову С.А. разместить настоящий приказ на официальном сайте Министерства в информационно-телекоммуникационной сети «Интернет» в течение 3 дней после его утверждения.
5. Контроль за исполнением настоящего приказа возложить на первого заместителя министра имущественных отношений Удмуртской Республики В.Л. Наумова.
И.о. министра Р.Ш. Зайнуллин
Приложение 1 к приказу Минимущества Удмуртии от 15 апреля 2014 г. № 19
ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ
1. Настоящие Правила обработки персональных данных в Министерстве имущественных отношений Удмуртской Республики (далее – Министерство) определяют порядок обработки персональных данных в Министерстве в целях:
предотвращения неконтролируемого распространения информации, содержащей персональные данные, в результате ее разглашения сотрудником Министерства, имеющим доступ к такой информации, или получения несанкционированного доступа к информации конфиденциального характера;
предотвращения утраты, несанкционированного уничтожения, искажения, копирования информации, содержащей персональные данные;
соблюдения правового режима использования информации, содержащей персональные данные;
обеспечения возможности обработки и использования персональных данных сотрудниками Министерства, имеющими соответствующие полномочия;
установления ответственности сотрудников Министерства, осуществляющих обработку персональных данных, за невыполнение норм, регулирующих обработку и защиту персональных данных.
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральным законом от 02 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
3. Настоящие правила не распространяются на отношения по обработке персональных данных государственных гражданских служащих Министерства.
4. Вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, в настоящих Правилах не рассматриваются и регулируются законодательством о государственной тайне.
5. В настоящих Правилах используются основные понятия, установленные статьей 3 Федерального закона «О персональных данных».
6. В соответствии со статьей 3 Федерального закона «О персональных данных» Министерство является оператором, организующим и осуществляющим обработку персональных данных.
Обработка персональных данных в Министерстве осуществляется с использованием средств автоматизации (электронные носители персональных данных) и без использования средств автоматизации (бумажные носители персональных данных).
7. Обработка персональных данных осуществляется с согласия субъекта персональных данных, который самостоятельно принимает решение об их предоставлении в Министерство.
Обработка персональных данных возможна без согласия субъекта персональных данных в случаях, указанных в статье 6 Федерального закона «О персональных данных».
8. Субъектами персональных данных являются:
близкие родственники государственных гражданских служащих Министерства (супруг (-а), дети, родители);
граждане, претендующие на замещение должностей государственной гражданской службы в Министерстве, подавшие документы на участие в конкурсе;
лица, замещающие должности руководителей государственных унитарных предприятий Удмуртской Республики, государственных учреждений Удмуртской Республики;
представители Удмуртской Республики в органах управления хозяйственных обществ, акции (доли в уставном капитале) которых находятся в собственности Удмуртской Республики;
кадастровые инженеры, лица, прошедшие аттестацию на соответствие квалификационным требованиям, предъявляемым к кадастровым инженерам;
граждане, обратившиеся в Министерство с обращением (жалобой или заявлением);
иные граждане, персональные данные которых обрабатываются в Министерстве в связи с предоставлением государственных услуг и исполнением государственных функций.
9. Непосредственно обработку персональных данных в Министерстве осуществляют сотрудники Министерства, замещающие должности государственной гражданской службы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.
10. Сотрудниками Министерства обрабатываются следующие персональные данные:
1) анкетные и биографические данные, включая адрес места жительства и проживания;
2) сведения о гражданстве, паспортные данные или данные иного документа, удостоверяющего личность и гражданство (включая серию, номер, дату выдачи, наименование органа, выдавшего документ);
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовке;
5) сведения о составе семьи и наличии иждивенцев, о месте работы или учебы членов семьи;
6) сведения об отношении к воинской обязанности;
7) сведения о доходах, расходах, обязательствах имущественного характера;
8) сведения о страховом свидетельстве государственного пенсионного страхования;
9) сведения об идентификационном номере налогоплательщика;
10) сведения о социальных льготах и о социальном статусе;
11) сведения о судимости, о привлечении к уголовной, административной или иного вида ответственности;
12) сведения об имуществе (недвижимости, транспортных средствах и др.);
13) сведения о предпринимательской деятельности субъекта персональных данных и членов его семьи;
14) персональные данные лиц, на которых распространяются установленные законодательством запреты, ограничения и обязанности;
15) иные персональные данные, необходимые для осуществления Министерством функций и полномочий, предусмотренных законодательством.
11. Объем обрабатываемых персональных данных определяется сотрудниками Министерства самостоятельно, исходя из решаемых задач и полномочий в соответствии с законодательством и правовыми актами, регулирующими деятельность Министерства.
12. Обработка персональных данных допускается в случаях, предусмотренных Федеральным законом «О персональных данных», в том числе:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Министерство функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
13. Обработка персональных данных в Министерстве осуществляется на основе принципов, установленных статьей 5 Федерального закона «О персональных данных».
14. Мерами, направленными на обеспечение безопасности персональных данных при их обработке являются:
1) назначение ответственного за организацию обработки персональных данных в Министерстве;
2) издание правовых актов по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
4) распределение ответственности по вопросам защиты персональных данных между сотрудниками Министерства;
5) установление персональной ответственности сотрудников Министерства за обеспечением безопасности обрабатываемых персональных данных;
6) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных»;
7) своевременное выявление угроз безопасности персональных данных и принятием соответствующих мер защиты;
8) придание мероприятиям защиты информации характера обязательных элементов производственного процесса Министерства, а требованиям по их исполнению - элементов производственной дисциплины;
9) ознакомление сотрудников Министерства, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и (или) обучение указанных сотрудников;
10) резервное копирование информационных ресурсов;
11) применение программных продуктов, отвечающих требованиям защиты персональных данных;
12) учет машинных носителей персональных данных;
13) выявление фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
14) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
15) установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
16) своевременное применение критических обновлений общесистемного и прикладного программного обеспечения;
17) применение межсетевых защитных (фильтрующих) экранов;
18) использование антивирусных программных средств;
19) установление индивидуальных паролей доступа сотрудников Министерства в информационные системы персональных данных;
20) оборудование помещений системами безопасности;
21) применение контрольно-пропускного режима, видеонаблюдения на входе в здание, где расположены помещения, занимаемые Министерством.
15. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
16. На одном материальном носителе не допускается хранение персональных данных, цели обработки которых заведомо не совместимы.
17. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом.
18. Для хранения документов, содержащих персональные данные, используются помещения структурных подразделений Министерства.
Персональные данные на бумажных носителях хранятся в шкафах и сейфах.
Персональные данные в электронном виде хранятся на жестких дисках компьютеров сотрудников Министерства.
19. Внутренний доступ к персональным данным субъектов персональных данных имеют сотрудники Министерства, которым эти данные необходимы для выполнения должностных (служебных) обязанностей.
20. Внешний доступ со стороны третьих лиц к персональным данным субъекта персональных данных осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или других лиц, и иных случаев, установленных законодательством.
Министерство обязано сообщать персональные данные субъекта персональных данных по надлежаще оформленным запросам суда, прокуратуры, правоохранительных органов.
21. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения части персональных данных уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.
22. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих данных, но с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
23. Уточнение персональных данных при осуществлении их обработки производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
24. Передача персональных данных допускается только в случаях, установленных законодательством Российской Федерации.
Передача персональных данных не допускается с использованием средств телекоммуникационных каналов связи (телефон, телефакс, электронная почта и т.п.) без письменного согласия субъекта персональных данных, за исключением случаев, установленных законодательством Российской Федерации.
25. Министерство не осуществляет трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
26. Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах конфиденциальные данные, за исключением данных, содержащихся в материалах запроса или опубликованных в общедоступных источниках.
27. Министерство при обработке персональных данных обязано принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, копирования, распространения персональных данных, а также от иных неправомерных действий.
28. Ответственный за организацию обработки персональных данных в Министерстве, обязан:
1) осуществлять внутренний контроль за соблюдением сотрудниками Министерства законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения сотрудников Министерства положения законодательства Российской Федерации, Удмуртской Республики о персональных данных, правовых актов Министерства по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких запросов.
29. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Уничтожение персональных данных в случае достижения целей обработки персональных данных осуществляется в срок, не превышающий 30 (тридцати) дней с даты достижения целей обработки персональных данных.
Уничтожение персональных данных на бумажных носителях производится путем дробления (измельчения).
Персональные данные на электронных носителях уничтожаются путем форматирования носителя, без возможности последующего восстановления информации.
30. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных обработка персональных данных прекращается и персональные данные уничтожаются в срок, не превышающий три рабочих дня с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Министерством и субъектом персональных данных.
Об уничтожении персональных данных субъект персональных данных уведомляется не позднее трех рабочих дней со дня их уничтожения.
31. Сотрудники Министерства, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или его представителя, если иное не предусмотрено федеральным законом.
Сотрудники Министерства, осуществляющие обработку персональных данных, за нарушение установленного законодательством порядка сбора, хранения, использования или распространения персональных данных, обеспечение их информационной безопасности несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Приложение 2 к приказу Минимущества Удмуртии от 15 апреля 2014 г. № 19
ПРАВИЛА РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ В МИНИСТЕРСТВЕ ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ
1. Государственные гражданские служащие, работающие в Министерстве имущественных отношений Удмуртской Республики (далее – Министерство), граждане, претендующие на замещение должностей государственной гражданской службы в Министерстве, подавшие документы на участие в конкурсе, лица, замещающие должности руководителей государственных унитарных предприятий Удмуртской Республики, государственных учреждений Удмуртской Республики, представители Удмуртской Республики в органах управления хозяйственных обществ, акции (доли в уставном капитале) которых находятся в собственности Удмуртской Республики, кадастровые инженеры, лица, прошедшие аттестацию на соответствие квалификационным требованиям, предъявляемым к кадастровым инженерам, граждане, обратившиеся в Министерство с обращением (жалобой, заявлением), иные граждане, персональные данные которых обрабатываются в Министерстве в связи с предоставлением государственных услуг и осуществлением государственных функций (далее – субъекты персональных данных), имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных в Министерстве;
правовые основания и цели обработки персональных данных;
применяемые Министерством способы обработки персональных данных;
наименование и место нахождения Министерства, сведения о лицах (за исключением государственных гражданских служащих, работающих в Министерстве), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Министерством или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения в Министерстве;
порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка поручена или будет поручена такой организации или лицу;
иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
2. Субъект персональных данных вправе требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Сведения, указанные в пункте 1 настоящего Положения, предоставляются субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
4. Сведения, указанные в пункте 1 настоящего Положения, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом структурного подразделения Министерства, осуществляющим обработку соответствующих персональных данных при обращении субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя.
5. Запрос должен содержать:
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Министерством (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей государственной гражданской службы, оказание Министерством государственной услуги или осуществление государственной функции), либо сведения, иным образом подтверждающие факт обработки персональных данных в Министерстве, подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Законный представитель представляет в Министерство документ, подтверждающий его полномочия.
6. Запрос субъекта персональных данных должен быть рассмотрен в сроки, предусмотренные Федеральным законом «О персональных данных».
Ответ на запрос направляется субъекту персональных данных по адресу, указанному в запросе, при помощи заказной корреспонденции или вручается лично субъекту персональных данных или его законному представителю.
Ответ на запрос субъекта персональных данных может быть направлен посредством электронной почты, если это прямо указано в запросе.
7. Если запрос субъекта персональных данных связан с внесением изменений в персональные данные субъекта в связи с тем, что персональные данные являются неполными, устаревшими, недостоверными, то в таком запросе субъект персональных данных должен указать, какие именно персональные данные изменяются или уточняются.
Если для внесения изменений в персональные данные необходимы подтверждающие документы, то субъект персональных данных прикладывает к своему запросу об изменении персональных данных доказательства, на основании которых Министерство должно внести изменения или уточнить персональные данные.
В случае отсутствия доказательств, на которые ссылается субъект персональных данных, Министерство оставляет персональные данные в неизменном виде. Внесение изменений или уточнение персональных данных Министерством должны быть выполнены в сроки, предусмотренные Федеральным законом «О персональных данных».
8. Изменения, уничтожение или блокирование персональных данных соответствующего субъекта осуществляются Министерством на безвозмездной основе.
9. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Министерство или направить ему повторный запрос в целях ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является субъект персональных данных.
10. Субъект персональных данных вправе повторно обратиться в Министерство или направить повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 9 настоящих правил, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 5 настоящих Правил, должен содержать обоснование направления повторного запроса.
11. Министерство вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 10 настоящих Правил. Такой отказ должен быть мотивированным.
12. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
Приложение 3 к приказу Минимущества Удмуртии от 15 апреля 2014 г. № 19
ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве имущественных отношений Удмуртской Республики (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона «О персональных данных».
2. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Министерстве имущественных отношений Удмуртской Республики (далее – Министерство) организовывается проведение периодических проверок условий обработки персональных данных.
3. Проверки проводятся ответственным за организацию обработки персональных данных в Министерстве либо комиссией, образуемой приказом министра имущественных отношений Удмуртской Республики.
4. В проведении проверки не может участвовать сотрудник Министерства, прямо или косвенно заинтересованный в ее результатах.
5. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям (плановые проверки) или на основании поступившего в Министерство письменного заявления субъекта персональных данных о нарушениях правил обработки персональных данных (внеплановые проверки).
Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления заявления, указанного в абзаце первом настоящего пункта.
6. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
осуществление мероприятий по обеспечению целостности персональных данных.
7. Ответственный за организацию обработки персональных данных в Министерстве (комиссия) имеет право:
запрашивать у сотрудников Министерства информацию, необходимую для реализации полномочий;
требовать от сотрудников Министерства, непосредственно осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить министру имущественных отношений Удмуртской Республики предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке, а также предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных;
вносить министру имущественных отношений Удмуртской Республики предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
8. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в Министерстве (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
9. Проверка условий обработки персональных данных должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения о ее проведении.
10. По результатам проведенной проверки условий обработки персональных данных ответственный за организацию обработки персональных данных в Министерстве (председатель комиссии) представляет министру имущественных отношений Удмуртской Республики письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.
Приложение 4 к приказу Минимущества Удмуртии от 15 апреля 2014 г. № 19
ПОРЯДОК ДОСТУПА ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ, РАБОТАЮЩИХ В МИНИСТЕРСТВЕ ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ, В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящий Порядок доступа государственных гражданских служащих, работающих в Министерстве имущественных отношений Удмуртской Республики (далее – Министерство) в помещения, в которых ведется обработка персональных данных (далее - Порядок), устанавливает единые требования к доступу в служебные помещения в целях предотвращения нарушения прав субъектов персональных данных, обрабатываемых в Министерстве, и обеспечения соблюдения требований законодательства о персональных данных.
Настоящий Порядок обязателен для применения и исполнения всеми сотрудниками Министерства.
2. Персональные данные относятся к конфиденциальной информации. Должностные лица Министерства, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается в том числе установлением правил доступа в помещения, где обрабатываются персональные данные в информационной системе персональных данных и без использования средств автоматизации.
4. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
5. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только государственные гражданские служащие, работающие в Министерстве.
6. Помещения, в которых ведется обработка персональных данных, запираются на ключ. В нерабочее время ключи от помещений хранятся на стенде, расположенном в помещении бюро пропусков здания Дома Правительства Удмуртской Республики.
7. Вскрытие и закрытие помещений, в которых ведется обработка персональных данных, производится сотрудниками Министерства, имеющими право доступа в данные помещения.
8. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании рабочего времени сотрудники, имеющие право доступа в помещения, обязаны:
убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы (тумбочки столов);
отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;
закрыть окна.
9. Перед открытием помещений, в которых ведется обработка персональных данных, сотрудники, имеющие право доступа в помещения, обязаны провести внешний осмотр с целью установления целостности двери и замка.
При обнаружении неисправности двери и запирающих устройств сотрудники обязаны:
не вскрывая помещение, в котором ведется обработка персональных данных, доложить непосредственному руководителю;
в присутствии не менее двух иных сотрудников, включая непосредственного руководителя, вскрыть помещение и осмотреть его;
составить акт о выявленных нарушениях и передать его министру имущественных отношений Удмуртской Республики для организации служебного расследования.
10. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только сотрудники, непосредственно работающие в данном помещении.
Иные сотрудники Министерства имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии сотрудников, непосредственно работающих в данных помещениях.
11. При работе с информацией, содержащей персональные данные, двери помещений должны быть закрыты. Присутствие лиц, не имеющих права доступа к персональным данным, должно быть исключено.
12. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, обеспечивается лицом, ответственным за организацию обработки персональных данных в Министерстве имущественных отношений Удмуртской Республики.
Приложение 5 к приказу Минимущества Удмуртии от 15 апреля 2014 г. № 19
ПЕРЕЧЕНЬ ДОЛЖНОСТЕЙ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ МИНИСТЕРСТВА ИМУЩЕСТВЕННЫХ ОТНОШЕНИЙ УДМУРТСКОЙ РЕСПУБЛИКИ, ЗАМЕЩЕНИЕ КОТОРЫХ ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО ОСУЩЕСТВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
Первый заместитель министра
Заместитель министра
Помощник министра
Начальник отдела
Заместитель начальника отдела
Консультант
Главный специалист-эксперт
Ведущий специалист-эксперт
Специалист-эксперт
Старший специалист 1 разряда
Приложение 6 к приказу Минимущества Удмуртии от 15 апреля 2014 г. № 19
ОБЯЗАТЕЛЬСТВО
о неразглашении персональных данных
Я,_____________________________________________________________
проживающий (ая) по адресу___________________________________________
____________________________________________________________________
зарегистрированный (ая) по адресу______________________________________
____________________________________________________________________
паспорт _________________ кем и когда выдан____________________________
____________________________________________________________________
ознакомлен(а) с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и приказом Минимущества Удмуртии от «___» _________ 20__ г. № «_________________________________________
___________________________________________________________________».
Я поставлен(а) в известность, что получаю доступ к обработке персональных данных в Министерстве.
В связи с этим я даю обязательство Министерству имущественных отношений Удмуртской Республики (г. Ижевск, ул. Пушкинская, д. 214):
о неразглашении и соблюдении установленного режима защиты персональных данных, ставших мне известными в связи с __________________
(исполнением должностных
__________________________________________________________________;
обязанностей, участием в работе аттестационной, конкурсной комиссии, прохождением практики)
о прекращении обработки персональных данных, ставших мне известными в связи с ________________________________________________
(исполнением должностных обязанностей, участием в работе
_________________________________________________________________,
аттестационной, конкурсной комиссии, прохождением практики)
в случае _________________________________________________________
(расторжения служебного контракта, прекращения договора)
Я предупрежден(а) о том, что в случае нарушения мною режима защиты персональных данных, установленного в Министерстве имущественных отношений Удмуртской Республики, я несу персональную ответственность в соответствии с законодательством.
С режимом защиты персональных данных, установленным в Министерстве имущественных отношений Удмуртской Республики, ознакомлен(а).
«_____»_____________20__ г. ____________
(подпись)
Дополнительные сведения
Рубрики правового классификатора: | 020.010.050 Органы исполнительной власти субъектов Российской Федерации, 120.000.000 Информация и информатизация |
Вопрос юристу
Поделитесь ссылкой на эту страницу: