Основная информация
| Дата опубликования: | 23 апреля 2019г. |
| Номер документа: | RU93000201900606 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Республика Крым |
| Принявший орган: | Государственный комитет конкурентной политики Республики Крым |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
ГОСУДАРСТВЕННЫЙ КОМИТЕТ КОНКУРЕНТНОЙ ПОЛИТИКИ РЕСПУБЛИКИ КРЫМ
ПРИКАЗ
ОТ 23.04.2019
№ 52/ОД
О МЕРАХ, НАПРАВЛЕННЫХ НА РЕАЛИЗАЦИЮ ТРЕБОВАНИЙ ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 21 МАРТА 2012 ГОДА №211 «ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ МЕР, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ, ПРЕДУСМОТРЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ, ОПЕРАТОРАМИ, ЯВЛЯЮЩИМИСЯ ГОСУДАРСТВЕННЫМИ ИЛИ МУНИЦИПАЛЬНЫМИ ОРГАНАМИ»
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и во исполнение требований постановления Правительства Российской Федерации от 21 марта 2012 года №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»,
ПРИКАЗЫВАЮ:
1. Утвердить:
1) Политику обработки персональных данных Государственного комитета конкурентной политики Республики Крым (приложением 1);
2) Правила обработки персональных данных в Государственном комитете конкурентной политики Республики Крым (приложение № 2);
3) Правила рассмотрения запросов субъектов персональных данных или их представителей (приложение № 3);
4) Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Государственном комитете конкурентной политики Республики Крым (приложение № 4);
5) Правила работы с обезличенными данными в Государственном комитете конкурентной политики Республики Крым (приложение № 5);
6) Порядок доступа служащих Государственного комитета конкурентной политики Республики Крым в помещения, в которых ведётся обработка персональных данных (приложение № 6);
2. Приказ Государственного комитета конкурентной политики Республики Крым от 10.07.2017 № 177/ОД считать утратившим силу.
3. Контроль за исполнением настоящего приказа оставляю за собой.
Председатель
Н.Н. Борисенко
Приложение № 1 к приказу
Государственного комитета конкурентной политики Республики Крым от « » 2019 года №
ПОЛИТИКА
обработки персональных данных Государственного комитета конкурентной
политики Республики Крым
1. Общие положения
1.1. Назначение политики
Настоящий документ (далее - Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в Государственном комитете конкурентной политики Республики Крым (далее - Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.
1.2. Основные понятия
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
оператор персональных данных (Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3. Основные права Оператора
Оператор оставляет за собой право проверить полноту и точность предоставленных персональных данных. В случае выявления ошибочных или неполных персональных данных, Оператор имеет право прекратить все отношения с субъектом персональных данных.
1.4. Основные обязанности оператора
Оператор не собирает персональные данные, не обрабатывает и не передаёт персональные данные субъектов персональных данных третьим лицам, без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.5. Основные права субъекта
Субъект персональных данных имеет право:
1) получить сведения, касающиеся обработки его персональных данных Оператором;
2) потребовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3) отозвать согласие на обработку персональных данных в предусмотренных законом случаях.
2. Цели сбора персональных данных
Целями обработки персональных данных являются:
1) исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
2) рассмотрение обращений граждан;
3) обеспечение реализации государственной политики в сфере закупок;
4) обработка персональных данных в соответствии с трудовым законодательством, а также осуществление мер по противодействию коррупции.
3. Правовые основания обработки персональных данных
Оператор обрабатывает персональные данные, руководствуясь:
1) Положением о Государственном комитете конкурентной политики Республики Крым;
2) ст. ст. 85-90 Трудового кодекса РФ;
3) части 4-6 статьи 15 Федерального закона от 5 апреля 2013 года № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
4) Федеральный закон от 02 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
5) Федеральный закон от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
6) п. 7 Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденного Указом Президента Российской Федерации от 01 февраля 2005 № 112;
7) 5 п. 3 ст. 24 Налогового кодекса Российской Федерации;
8) ст. 17 Федерального закона от 21 ноября 1996 года № 129-ФЗ «О бухгалтерском учете»;
9) Федеральный закон от 22 октября 2004 года № 125-ФЗ «Об архивном деле в Российской Федерации».
4. Объем и категории обрабатываемых персональных данных, категории
субъектов персональных данных
Оператор осуществляет на законной и справедливой основе обработку
персональных данных следующих физических лиц (субъектов ПДн):
Цель «исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) контрагенты:
Иные категории: фамилия, имя, отчество, ИНН, банковские реквизиты, ОГРНИП, паспортные данные, дата рождения, год рождения, контактные сведения, образование, данные о наличии или отсутствии судимости.
Объем: менее чем 100 000 субъектов персональных данных
Цель «рассмотрение обращений граждан» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) граждане:
Иные категории: адрес, фамилия, имя, отчество, контактные сведения.
Объем: менее чем 100 000 субъектов персональных данных
Цель «обеспечение реализации государственной политики в сфере закупок» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) участники закупочных процедур:
Иные категории: фамилия, имя, отчество, контактные сведения, образование, паспортные данные, ОГРНИП, дата рождения, сведения о наличии или отсутствии судимости, ИНН, адрес.
Объем: менее чем 100 000 субъектов персональных данных
Цель «обработка персональных данных в соответствии с трудовым законодательством, а также осуществление мер по противодействию коррупции» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) работники:
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, социальное положение, имущественное положение, доходы, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, сведения о пребывании за границей, полис ОМС, свидетельство государственной регистрации актов гражданского состояния, сведения об ученой степени, информация о владении иностранными языками, фотография, информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, сведения об обязательствах имущественного характера, номер банковской карты, номер расчетного счета, классный чин.
Объем: менее чем 100 000 субъектов персональных данных
2) соискатели на замещение вакантных должностей государственной гражданской службы:
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, социальное положение, доходы, имущественное положение, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, полис ОМС, свидетельство государственной регистрации актов гражданского состояния, сведения об ученой степени, информация о владении иностранными языками, фотография, сведения о пребывании за границей, классный чин, информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, сведения об обязательствах имущественного характера.
Объем: менее чем 100 000 субъектов персональных данных
3) уволенные (уволившиеся) работники:
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, адрес, место рождения, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, социальное положение, имущественное положение, доходы, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, сведения о пребывании за границей, полис ОМС, свидетельство государственной регистрации актов гражданского состояния, сведения об ученой степени, информация о владении иностранными языками, фотография, классный чин, информация о наличии или отсутствии судимости, информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, сведения об обязательствах имущественного характера, номер банковской карты, номер расчетного счета.
Объем: менее чем 100 000 субъектов персональных данных
4) ближайшие родственники работников (в т. ч. уволенных):
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, степень родства, имущественное положение, социальное положение, доходы, информация о трудовой деятельности, трудоспособность, адрес, дата выезда за границу на постоянное место жительства, обязательства имущественного характера, гражданство, семейное положение, состав семьи.
Объем: менее чем 100 000 субъектов персональных данных
5. Порядок и условия обработки персональных данных
5Л. Перечень действий с персональными данными, осуществляемых Оператором
Оператором осуществляются следующие действия с персональными данными: запись, извлечение, использование, накопление, обезличивание,
передача (распространение, предоставление, доступ), сбор, систематизация, удаление, уничтожение, уточнение (обновление, изменение), хранение.
5.2. Способы обработки персональных данных
Оператором применяются следующие способы обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети и сети интернет.
5.3. Передача персональных данных третьим лицам
В случае поручения обработки персональных данных третьему лицу, ему предъявляются требования принимать необходимые организационные, технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, в том числе: определение угроз безопасности персональных данных при их обработке в информационных системах; учёт машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.
При передаче персональных данных на основе федерального закона условия передачи персональных данных устанавливаются соответствующим федеральным законом.
5.4. Обеспечение безопасности персональных данных Оператором достигается, в частности следующими мерами:
1) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер;
2) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону «О персональных данных» и внутренним документам Оператора по вопросам обработки персональных данных;
3) ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
4) издание политики Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
5) учет машинных носителей персональных данных;
6) назначение ответственного за организацию обработки персональных данных;
7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (сертифицированные СЗИ);
9) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы
персональных данных;
10) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
11) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
12) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
13) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
5.5. Базы персональных данных Оператора находятся полностью в пределах территории Российской Федерации
5.6. Сроки обработки персональных данных
Персональные данные субъектов, обрабатываемые Оператором подлежат уничтожению либо обезличиванию в случае:
1) достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;
2) прекращения деятельности Оператора.
5.7. Условия обработки персональных данных без использования средств автоматизации
При обработке персональных данных, осуществляемой без использования средств автоматизации, Оператор выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6. Регламент реагирования на запросы обращения субъектов персональных
данных и их представителей
При обращении, запросе в письменной или электронной форме субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Оператор руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ «О персональных данных»;
Субъект или его законный представитель может воспользоваться формами запросов, указанными в приложениях 1-3 к данной Политике.
Доступ субъекта персональных данных или его законного представителя к своим персональным данным Оператор предоставляет только под контролем ответственного за организацию обработки персональных Оператора.
Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
Запрос в письменной или электронной форме субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным.
Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.
В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152- ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.
Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает работника (работников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.
Сведения о наличии персональных данных Оператор предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.
Сведения о наличии персональных данных предоставляются субъекту при ответе на запрос в течение тридцати дней от даты получения запроса субъекта персональных данных или его законного представителя.
7. Регламент реагирования на запросы обращения уполномоченных органов
В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ Оператор сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.
Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением работников Оператора.
В течение установленного срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.
Приложение № 1
к Политике обработки персональных данных
Форма запроса субъекта персональных данных, в случае выявления
недостоверных персональных данных
Председателю
Государственного комитета конкурентной политики Республики Крым Н.Н. Борисенко
от
(Ф.И.О., номер основного документа, удостоверяющего личность
субъекта или его законного представителя, сведения о дате выдачи
указанного документа и выдавшем органе,
адрес, контактные данные)
ЗАПРОС
на уточнение/блокирование/уничтожение персональных данных,
в связи с выявлением недостоверных персональных данных
Прошу:
□
уточнить
□
заблокировать
□
уничтожить
мои персональные данные, обрабатываемые в Государственном комитете конкурентной политики Республики Крым, в связи с выявлением следующих недостоверных сведений:
(перечислить)
(дата)
(подпись)
(расшифровка)
Приложение № 2
к Политике обработки персональных данных
Форма запроса субъекта персональных данных, в случае выявления
недостоверных персональных данных
Председателю
Государственного комитета конкурентной политики Республики Крым Н.Н. Борисенко
от
(Ф.И.О., номер основного документа, удостоверяющего личность
субъекта или его законного представителя, сведения о дате выдачи
указанного документа и выдавшем органе,
адрес, контактные данные)
ЗАПРОС
на прекращение обработки персональных данных
Прошу прекратить обработку моих персональных данных в связи с:
(описать причину)
(дата)
(подпись)
(расшифровка)
Приложение № 3
к Политике обработки персональных данных
Форма запроса субъекта персональных данных на предоставление доступа к своим
персональным данным
Председателю
Государственного комитета конкурентной политики Республики Крым Н.Н. Борисенко
от
(Ф.И.О., номер основного документа, удостоверяющего личность
субъекта или его законного представителя, сведения о дате выдачи
указанного документа и выдавшем органе,
адрес, контактные данные)
ЗАПРОС
на получение доступа к персональным данным
Прошу предоставить мне для ознакомления следующую информацию (в том числе документы), составляющую мои персональные данные:
(описать причину)
(дата)
(подпись)
(расшифровка)
Приложение № 2 к приказу
Государственного комитета конкурентной политики Республики Крым от «» 2019 года №
ПРАВИЛА
обработки персональных данных в Государственном комитете конкурентной
политики Республики Крым
1. Основные понятия
В настоящем документе используются следующие основные понятия: автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
безопасность персональных данных - состояние защищённости персональных данных, при котором обеспечиваются их конфиденциальность, доступность и целостность при их обработке;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
обработка персональных данных - любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (в том числе распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными данными;
персональные данные - любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных);
предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Общие положения
Настоящие правила разработаны для обеспечения безопасности персональных данных при их обработке в информационных системах
персональных данных Государственного комитета конкурентной политики Республики Крым (далее - Комитет), а также защиты прав и свобод граждан при обработке их персональных данных в Комитете, в том числе право на
неприкосновенность частной жизни, личную и семейную тайну, а также
разъяснение ответственности должностных лиц (служащих), имеющих доступ к персональным данным, за невыполнение требований норм и правил,
регулирующих обработку и защиту персональных данных.
Настоящие правила устанавливают порядок обработки персональных данных субъектов персональных данных в Комитете и направлены на выявление, предотвращение и профилактику нарушений законодательства Российской Федерации в сфере персональных данных.
Субъектами персональных данных в Комитете являются:
1) ближайшие родственники работников (в т.ч. уволенных);
2) граждане;
3) контрагенты;
4) работники;
5) соискатели на замещение вакантных должностей государственной гражданской службы;
6) уволенные (уволившиеся) работники;
7) участники закупочных процедур.
Настоящие правила определяют необходимый минимальный объём мер, соблюдение которых позволяет предотвратить утечку сведений, относящихся к персональным данным. При необходимости могут быть введены дополнительные меры, направленные на усиление защиты персональных данных.
Настоящие правила разработаны в соответствии со следующими нормативно-правовыми актами Российской Федерации:
1) Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, ратифицированная Федеральным законом Российской Федерации
от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» в рамках, определяемых данным Федеральным законом, заявлений;
2) Конституция Российской Федерации;
3) Еражданский кодекс Российской Федерации;
4) Кодекс об Административных Правонарушениях Российской Федерации;
5) Трудовой кодекс Российской Федерации;
6) Уголовный кодекс Российской Федерации;
7) Федеральный закон от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской федерации»;
8) Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ);
9) Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
10) Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 года № 188;
11) Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;
12) Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утверждённый постановлением Правительства Российской Федерации от 21 марта 2012 года №211;
13) Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119.
В соответствии с законодательством Российской Федерации об обработке и защите персональных данных персональные данные субъектов являются конфиденциальной информацией.
В случаях, предусмотренных действующим законодательством, сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего, его супруги (супруга) и несовершеннолетних детей могут размещаться на официальном сайте Комитета или предоставляться региональным средствам массовой информации по их запросам для последующего опубликования.
Порядок регистрации, учёта, оформления, тиражирования, хранения, использования и уничтожения документов и других материальных носителей персональных данных определяют законодательство Российской Федерации об обработке и защите персональных данных, а также действующие нормативные правовые акты Комитета.
Комитет является оператором персональных данных субъектов, указанных в настоящем документе. На основании соглашения (договора) Комитет может поручать обработку персональных данных третьим лицам, с согласия субъекта персональных данных, а в случае если иное предусмотрено действующим законодательством Российской Федерации, то и без их согласия. Существенным условием соглашения (договора) по обработке персональных данных является обязанность обеспечения этими лицами конфиденциальности и безопасности персональных данных субъектов.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции Российской Федерации, Комитет вправе получать и обрабатывать данные о частной жизни гражданских служащих и(или) работников Комитета только с их письменного согласия.
Комитет не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.
Настоящие Правила вступают в силу с момента их утверждения и действуют до замены их новыми Правилами обработки персональных данных.
Все изменения в Правила вносятся приказом председателя Комитета.
3. Цель и содержание обработки персональных данных
Целями обработки персональных данных в Комитете являются:
1) исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
2) рассмотрение обращений граждан;
3) обеспечение реализации государственной политики в сфере закупок;
4) обработка персональных данных в соответствии с трудовым законодательством, а также осуществление мер по противодействию коррупции.
Цель «исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также
заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) контрагенты:
Иные категории: фамилия, имя, отчество, ИНН, банковские реквизиты, ОГРНИП, паспортные данные, дата рождения, год рождения, контактные сведения, образование, данные о наличии или отсутствии судимости.
Объем: менее чем 100 000 субъектов персональных данных.
Цель «рассмотрение обращений граждан» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) граждане:
Иные категории: адрес, фамилия, имя, отчество, контактные сведения.
Объем: менее чем 100 000 субъектов персональных данных.
Цель «обеспечение реализации государственной политики в сфере закупок» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) участники закупочных процедур:
Иные категории: фамилия, имя, отчество, контактные сведения, образование, паспортные данные, ОГРНИП, дата рождения, сведения о наличии или отсутствии судимости, ИНН, адрес.
Объем: менее чем 100 000 субъектов персональных данных.
Цель «обработка персональных данных в соответствии с трудовым законодательством, а также осуществление мер по противодействию коррупции» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) работники:
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, социальное положение, имущественное положение, доходы, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, сведения о пребывании за границей, полис ОМС, свидетельство государственной регистрации актов гражданского состояния, сведения об ученой степени, информация о владении иностранными языками, фотография, информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, сведения об обязательствах имущественного характера, номер банковской карты, номер расчетного счета, классный чин.
Объем: менее чем 100 000 субъектов персональных данных.
2) соискатели на замещение вакантных должностей государственной гражданской службы:
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, социальное положение, доходы, имущественное положение, образование,
профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, полис ОМС, свидетельство государственной регистрации актов гражданского состояния, сведения об ученой степени, информация о владении иностранными языками, фотография, сведения о пребывании за границей, классный чин, информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, сведения об обязательствах имущественного характера.
Объем: менее чем 100 000 субъектов персональных данных.
3) уволенные (уволившиеся) работники:
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, адрес, место рождения, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, социальное положение, имущественное положение, доходы, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, сведения о пребывании за границей, полис ОМС, свидетельство государственной регистрации актов гражданского состояния, сведения об ученой степени, информация о владении иностранными языками, фотография, классный чин, информация о наличии или отсутствии судимости, информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, сведения об обязательствах имущественного характера, номер банковской карты, номер расчетного счета.
Объем: менее чем 100 000 субъектов персональных данных.
4) ближайшие родственники работников (в т.ч. уволенных):
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, степень родства, имущественное положение, социальное положение, доходы, информация о трудовой деятельности, трудоспособность, адрес, дата выезда за границу на постоянное место жительства, обязательства имущественного характера, гражданство, семейное положение, состав семьи.
Объем: менее чем 100 000 субъектов персональных данных.
4. Правила обработки персональных данных
Все персональные данные субъектов Комитет получает на законной основе.
Персональные данные ближайших родственников работников (служащих), необходимые для ведения кадрового учёта, Комитет получает от самих работников.
Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных.
Субъект персональных данных принимает решение о предоставлении своих персональных данных и даёт согласие на их обработку своей волей и в своём интересе.
Комитет оставляет за собой право не осуществлять свои функции в отношении субъекта персональных данных в случае предоставления неполных или недостоверных персональных данных, а также в случае отказа дать письменное согласие на обработку персональных данных.
При установлении договорных отношений с субъектом персональных данных получение письменного согласия на обработку его персональных данных
не требуется.
Получение персональных данных субъекта у третьих лиц возможно только при предварительном уведомлении субъекта и с его письменного согласия.
Персональные данные субъектов Комитета обрабатываются в структурных подразделениях в соответствии с исполняемыми функциями.
Доступ к персональным данным, обрабатываемым без использования средств автоматизации, осуществляется в соответствии со списком, утверждённом в порядке, определяемом в Комитете.
Доступ к персональным данным, обрабатываемым в информационных системах персональных данных, осуществляется в соответствии со списком, утверждённом в порядке, определяемом в Комитете.
Уполномоченные лица, допущенные к персональным данным субъектов Комитета, имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностными инструкциями указанных лиц.
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» утверждённого Постановлением Правительства РФ от 15 сентября 2008 № 687.
Персональные данные при такой их обработке, должны обособляться от иной информации, в частности путём фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются приказом об утверждении мест хранения материальных носителей персональных данных Комитета.
Персональные данные подлежат уничтожению либо обезличиванию в случаях достижения целей или в случае утраты необходимости в достижении этих целей, отзыва согласия субъекта персональных данных, выявления неправомерной обработки персональных данных, если иное не предусмотрено федеральным законом Российской Федерации.
В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Комитет вносит в них необходимые изменения, а также уведомляет субъекта о внесённых изменениях.
Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки персональных данных, если иное не предусмотрено федеральным законом Российской Федерации.
Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента отзыва согласия субъекта персональных данных.
Уничтожение персональных данных осуществляется в срок, не
превышающий 7 рабочих дней с момента представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
Уничтожение персональных данных осуществляется в срок, не
превышающий 10 рабочих дней с момента выявления неправомерной обработки персональных данных. Комитет уведомляет об этом субъекта или его законного представителя.
Уничтожение персональных данных на бумажных носителях осуществляет комиссия в составе руководителя и работников структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость уничтожения персональных данных под контролем руководителя этого структурного подразделения.
Способ уничтожения материальных носителей персональных данных определяется комиссией. Допускается применение следующих способов:
1) сжигание;
2) шредирование (измельчение);
3) передача на специализированные полигоны (свалки);
4) химическая обработка.
При этом составляется «Акт уничтожения документов Комитета, содержащих персональные данные субъекта». Форма акта утверждается отдельным приказом.
При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае комиссия Комитета должна присутствовать при уничтожении материальных носителей персональных данных. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей персональных данных, подлежащих уничтожению, в специализированную организацию.
Уничтожение полей баз данных Комитета, содержащих персональные
данные субъекта, выполняется по заявке руководителя структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.
Уничтожение полей баз данных Комитета, содержащих персональные
данные субъекта, осуществляет комиссия, в состав которой входят лица, ответственные за администрирование автоматизированных систем, которым принадлежат базы данных, работники структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.
Уничтожение полей баз данных комитета, содержащих персональные
данные субъекта, достигается путём затирания информации на носителях информации (в том числе и резервных копиях) или путём механического
нарушения целостности носителя информации, не позволяющего произвести считывание или восстановление персональных данных. При этом составляется «Акт уничтожения полей баз данных комитета, содержащих персональные данные субъекта». Форма акта утверждается отдельным приказом.
Уничтожение архивов электронных документов и протоколов электронного
взаимодействия может не производиться, если ведение и сохранность их в течение определённого срока предусмотрены соответствующими нормативными и (или) договорными документами.
При невозможности осуществления затирания информации на носителях допускается проведение обезличивания путём перезаписи полей баз данных, которые позволяют определить субъекта, данными, исключающими дальнейшее определение субъекта.
Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных в Комитете.
Обработка биометрических персональных данных (фотография, отпечатки пальцев, сетчатки глаза и другое), в соответствии со статьёй 11 Федерального закона № 152, допускается при наличии согласия субъекта. Форма согласия утверждается отдельным приказом.
Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.
Работники (служащие) Комитета должны быть ознакомлены под роспись с требованиями законодательства Российской Федерации, касающимися обработки персональных данных, настоящими Правилами и другими документами комитета, устанавливающими порядок обработки персональных данных субъектов, а также права и обязанности в этой области.
5. Передача персональных данных третьим лицам
При обработке персональных данных субъекта должны соблюдаться
следующие требования:
1) не сообщать персональные данные субъекта третьей стороне без
письменного согласия субъекта. Форма согласия утверждается отдельным приказом. Допускается совмещение формы согласия субъекта с типовыми
формами документов, содержащими персональные данные субъекта, при условии соблюдения требований статьи 9 Федерального закона № 152;
2) предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности в отношении этих данных.
При необходимости трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, комитет запрашивает согласие субъекта в письменной форме. Форма согласия утверждается отдельным приказом.
6. Права субъектов персональных данных
В целях обеспечения своих интересов субъекты имеют право:
1) получать полную информацию о своих персональных данных и обработке
этих данных (в том числе автоматизированной);
2) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом;
3) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона № 152-ФЗ. Субъект персональных данных, при отказе комитета исключить или исправить персональные данные субъекта, имеет право заявлять в письменной форме о своём несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;
4) требовать от Комитета уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведённых в них изменениях или исключениях из них;
5) обжаловать в суде любые неправомерные действия или бездействие комитета при обработке и защите персональных данных субъекта.
7. Порядок действий в случае запросов надзорных органов
В соответствии с частью 4 статьи 20 Федерального закона № 152 Комитет сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.
Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных в Комитете при необходимости с привлечением работников (служащих) Комитета.
В течение установленного законодательством срока ответственный за организацию обработки персональных данных в Комитете подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.
8. Защита персональных данных субъекта
Защиту персональных данных субъектов от неправомерного их использования или утраты Комитет обеспечивает за счёт собственных средств в порядке, установленном законодательством Российской Федерации.
При обработке персональных данных должны быть приняты необходимые организационные и технические меры по обеспечению их конфиденциальности.
Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:
1) РД ФСТЭК России - «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждены приказом ФСТЭК России № 21 от 18 февраля 2013 года;
2) специальными требованиями и рекомендациями по технической защите
конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002 года № 282;
3) внутренними документами Комитета, действующими в сфере обеспечения информационной безопасности.
Защита персональных данных предусматривает ограничение к ним доступа.
Ответственные за организацию обработки персональных данных, администрирование средств и механизмов защиты, техническое обслуживание информационных систем персональных данных назначаются приказом председателя Комитета.
Руководитель структурного подразделения Комитета, осуществляющего обработку персональных данных:
1) несёт ответственность за организацию защиты персональных данных в структурном подразделении;
2) организует изучение уполномоченными работниками нормативных правовых актов по защите персональных данных и требует их неукоснительного исполнения;
3) обеспечивает режим конфиденциальности в отношении персональных данных, обрабатываемых в структурном подразделении (отделе);
4) контролирует порядок доступа к персональным данным в соответствии с функциональными обязанностями работников подразделения.
Работники (служащие), допущенные к персональным данным дают письменное обязательство о неразглашении таких данных.
9. Обязанности лиц, допущенных к обработке персональных данных
Лица, допущенные к работе с персональными данными, обязаны:
1) знать законодательство Российской Федерации в области обработки и защиты персональных данных, нормативные документы комитета по защите персональных данных;
2) сохранять конфиденциальность персональных данных;
3) обеспечивать сохранность закреплённых за ними носителей персональных данных;
4) контролировать срок истечения действия согласий на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки персональных данных;
5) докладывать своему непосредственному руководителю обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.
10. Ответственность за нарушение норм, регулирующих обработку и защиту
персональных данных субъектов
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности в соответствии с действующим законодательством Российской Федерации.
К данным лицам могут быть применены следующие дисциплинарные взыскания:
1) замечание;
2) выговор;
3) предупреждение о неполном должностном соответствии;
4) увольнение с гражданской службы.
Приложение № 3 к приказу
Государственного комитета конкурентной политики Республики Крым от « » 2019 года №
ПРАВИЛА
рассмотрения запросов субъектов персональных данных
или их представителей
Государственный комитет конкурентной политики Республики Крым (далее - Комитет) руководствуется требованиями статей 14, 18 и 20 Федерального закона Российской Федерации от 27 июля 2006 года № 152 «О персональных данных» при устном обращении либо письменном запросе субъекта персональных данных или его законного представителя на доступ к персональным данным субъекта.
Доступ субъекта персональных данных или его законного представителя к персональным данным субъекта Комитет предоставляет только под контролем ответственного за организацию обработки персональных данных в Комитете.
Обращение субъекта персональных данных или его законного представителя фиксируется в журнале учёта обращений граждан по вопросам обработки персональных данных. Порядок ведения журнала и ответственные за ведение определяются приказом председателя Комитета (приложение № 1).
Запрос субъекта персональных данных или его законного представителя фиксируется в журнале учета запросов граждан по вопросам обработки персональных данных. Порядок ведения журнала и ответственные за ведение определяются приказом председателя Комитета (приложение № 2).
Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекту персональных данных или его законному представителю к персональным данным указанного субъекта.
В случае, если данных, предоставленных субъектом или его законным представителем, не достаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц, ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона Российской Федерации от 27 июля 2006 года № 152 «О персональных данных» или иного федерального закона,
являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.
Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает работника (работников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.
Сведения о наличии персональных данных предоставляются субъекту
персональных данных или его законному представителю в течение тридцати дней с даты получения запроса субъекта персональных данных или его законного представителя в доступной форме, при этом в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Контроль за предоставлением сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.
Приложение № 1
к правилам рассмотрения запросов субъектов персональных данных или их представителей
ЖУРНАЛ
учета обращений граждан по вопросам обработки персональных данных
№
п/п
Дата
обращения
Ф.И.О. гражданина
Отношения субъекта ГТДн с оператором ПДн
Подпись
гражданина
Отметка о предоставлении доступа к ПДн (отказе в доступе)
Ф.И.О. должность работника,
предоставившего доступ к ПДн
1
2
3
4
5
6
7
ЖУРНАЛ
Приложение № 2
к правилам рассмотрения запросов субъектов персональных данных или их представителей
учета запросов граждан по вопросам обработки персональных данных
№
п/п
Вх. № письма
Дата
получения
запроса
Ф.И.О. гражданина
Отношения субъекта ПДн с оператором ПДн
Отметка о предоставлении доступа к ПДн (отказе в доступе)
Исх. номер и дата письма с ответом на запрос
Ф.И.О., должность, подпись работника, выдавшего ответ
1
2
3
4
5
6
7
8
Приложение № 4 к приказу
Государственного комитета конкурентной
политики Республики Крым
от « .х' у » л ,1-/’с. 2019 года №
—
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных
данных требованиям к защите персональных данных в Государственном
комитете конкурентной политики Республики Крым
1. Общие положения
Настоящие правила разработаны в соответствии с положениями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и требованиями по соблюдению мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утверждённых постановлением Правительства Российской Федерации от 21 марта 2012 года № 211, и определяют порядок организации и осуществления контроля выполнения соответствия обработки персональных данных требованиям к защите персональных данных в структурных подразделениях Государственного комитета конкурентной политики Республики Крым (далее - Комитет).
Правила обязательны для исполнения всеми должностными лицами комитета, осуществляющими контроль состояния защиты персональных данных.
Контроль выполнения соответствия обработки персональных данных требованиям к защите персональных данных в структурных подразделениях Комитета осуществляется с целью определения наличия несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, правильности обработки персональных данных ответственными лицами в структурных подразделениях, а также выработать меры по их устранению и недопущению в дальнейшем.
Контроль осуществляет ответственный за организацию обработки персональных данных в комитете.
Контроль проводится в форме плановых и внеплановых проверок. Внеплановые проверки могут быть контрольными и по частным вопросам.
Контрольные проверки проводятся для установления полноты выполнения рекомендаций плановых проверок.
Проверки по частным вопросам охватывают отдельные направления по защите персональных данных и могут проводиться в случаях, когда стали известны факты несанкционированного доступа, утечки либо утраты персональных данных субъектов Комитета или нарушения требований по обработке и защите персональных данных.
Проверки осуществляются ответственным за организацию обработки персональных данных в Комитете либо комиссией, образуемой председателем Комитета.
Сроки проведения контрольных проверок доводятся руководителям проверяемых структурных подразделений не позднее, чем за 24 часа до начала проверки.
Проверки по частным вопросам могут проводиться без уведомления руководителей проверяемых подразделений (отделов, управлений).
Периодичность и сроки проведения плановых проверок подразделений Комитета устанавливаются планом, утверждаемым председателем Комитета. Сроки проведения плановых проверок доводятся руководителям проверяемых структурных подразделений (отделов) не позднее, чем за 10 суток до начала проверки.
2. Порядок подготовки к проверке
Проверка проводится на основании приказа председателя Комитета. Ответственный за организацию обработки персональных данных в Комитете подготавливает предложения по составу комиссии. Проект приказа о проверке подготавливает ответственный за организацию обработки персональных данных в Комитете.
Проверяющие лица обязаны получить у руководителей проверяемых структурных подразделений информацию об условиях обработки персональных данных, необходимую для достижения целей проверки. Перед началом проверки они должны изучить материалы предыдущих проверок данного структурного подразделения.
3. Порядок проведения проверки
Проверка осуществляется после ознакомления руководителя проверяемого структурного подразделения с приказом о проведении проверки.
Руководитель проверяемого структурного подразделения обязан оказывать содействие комиссии по проверке и в случае необходимости определяет должностное лицо, ответственное за сопровождение проверки.
На период проведения контрольных мероприятий обработку персональных данных необходимо по возможности прекращать. Допуск проверяющих лиц к конкретным информационным ресурсам, защищаемым сведениям и техническим средствам должен исключать ознакомление проверяющих лиц с конкретными персональными данными.
Общий порядок проведения проверки включает следующее:
1) запрос в Управлении кадровой работы и делопроизводства документов о распределении обязанностей по обработке и защите персональных данных, установление факта ознакомления работников проверяемого структурного подразделения со своей ответственностью;
2) получение при содействии работников проверяемого структурного подразделения документов, касающихся обработки и защиты персональных
данных в данном структурном подразделении;
3) анализ полученной документации;
4) непосредственная проверка выполнения установленного порядка обработки и защиты персональных данных и требований законодательства Российской Федерации в области защиты персональных данных.
При этом согласовываются конкретные вопросы по объёму, содержанию, срокам проведения проверки, а также каких должностных лиц структурного подразделения необходимо привлечь к проверке.
В ходе осуществления контроля выполнения требований по обработке и защите персональных данных в проверяемом структурном подразделении Комитета рассматриваются в частности следующие показатели:
1) в части общей организации работ по обработке персональных данных:
а) соответствие информации, указанной в уведомлении об обработке персональных данных и в правилах обработки персональных данных Комитета, реальному положению дел;
б) соответствие обрабатываемой и собираемой информации (персональных данных), их полнота, в соответствии с нормативными правовыми актами и локальными актами, принятыми в Комитете;
в) знание нормативных документов работниками (служащими), имеющими доступ к персональным данным;
г) полнота и правильность выполнения требований нормативных документов комитета работниками (служащими), имеющими доступ к персональным данным;
д) соответствие документов, определяющих состав работников, ответственных за организацию защиты персональных данных в подразделении, реальному штатному составу подразделения, а также подтверждение факта ознакомления ответственных работников с данными документами;
е) уровень подготовки работников, ответственных за организацию защиты персональных данных в подразделении;
ж) наличие согласий на обработку персональных данных субъектов персональных данных. Соответствие объёма персональных данных и сроков обработки целям обработки персональных данных.
2) в части защиты персональных данных в информационных системах персональных данных (далее - ИСПДн):
а) соответствие средств вычислительной техники ИСПДн показателям, указанным в документации на ИСПДн;
б) структура и состав локальных вычислительных сетей, организация разграничения доступа пользователей к сетевым информационным ресурсам, порядок защиты охраняемых сведений при передаче (обмене) персональных данных в сети передачи данных;
в) соблюдение установленного порядка использования средств вычислительной техники ИСПДн;
г) наличие и эффективность применения средств и методов защиты персональных данных, обрабатываемых на средствах вычислительной техники;
д) соблюдение требований, предъявляемых к паролям на информационные ресурсы;
е) соблюдение требований и правил антивирусной защиты средств вычислительной техники;
ж) контроль журналов учёта носителей персональных данных. Сверка основного журнала с дублирующим (если требуется ведение дублирующего учёта носителей);
з) тестирование реализации правил фильтрации межсетевого экрана, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления настроек межсетевого экрана.
3) в части защиты информационных ресурсов и помещений:
а) правильность отнесения обрабатываемой информации к персональным данным;
б) правильность установления уровня защищенности персональных дынных в информационной системе;
в) закрепление гражданско-правовой ответственности в сфере информационной безопасности и соблюдения режима конфиденциальности персональных данных в правилах внутреннего трудового распорядка, положениях о структурных подразделениях комитета, должностных инструкциях работников (служащих) и трудовых договорах;
г) порядок передачи персональных данных органам государственной власти, местного самоуправления и сторонним организациям (контрагентам);
д) действенность принимаемых мер по защите охраняемых сведений в ходе подготовки материалов к открытому опубликованию;
е) состояние конфиденциального делопроизводства, соблюдение установленного порядка подготовки, учёта, использования, хранения и уничтожения документов, содержащих персональные данные;
ж) выполнение требований по правильному оборудованию защищаемых помещений и предотвращению утечки охраняемых сведений при проведении мероприятий конфиденциального характера;
з) соответствие защищаемых помещений их техническим паспортам.
Более подробно вопросы, подлежащие проверке, могут раскрываться в
отдельных документах (методических рекомендациях, технологических картах, памятках и т.п.).
Во время проведения проверки, выявленные нарушения требований по обработке и защите персональных данных должны быть по возможности устранены. Проверяющие лица могут дать рекомендации по устранению на месте отмечаемых нарушений и недостатков.
Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.
4. Оформление результатов проверки
Результаты проверки оформляются:
1) актом - при проведении проверки комиссией;
2) служебной запиской - при проведении проверки назначенными специалистами.
Акт и/или служебная записка составляется в двух экземплярах и подписывается членами комиссии.
Один экземпляр хранится у ответственного за организацию обработки персональных данных Комитета. Второй экземпляр хранится в Комитете в Управлении кадровой работы и делопроизводства. Копия акта о проверке остается в проверяемом структурном подразделении.
Результаты проверок структурных подразделений периодически обобщаются ответственным за организацию обработки персональных данных в Комитете и доводятся до руководителей структурных подразделений. При необходимости принятия решений по результатам проверок структурных подразделений на имя председателя Комитета готовятся соответствующие служебные записки.
Приложение № 5 к приказу
Государственного комитета конкурентной политики Республики Крым от « . 2019 года №
ПРАВИЛА
работы с обезличенными данными в Государственном комитете
конкурентной политики Республики Крым
Настоящие правила разработаны в соответствии с положениями Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральным законом «О персональных данных») и требованиями по соблюдению мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утверждённых постановлением Правительства Российской Федерации от 21 марта 2012 года №211, и определяют порядок работы с обезличенными данными в структурных подразделениях (отделах) Государственного комитета конкурентной политики Республики Крым (далее - Комитет).
Правила обязательны для исполнения всеми должностными лицами Комитета, допущенными к персональным данным.
Обезличивание персональных данных - это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Персональные данные подлежат уничтожению либо обезличиванию в случаях достижения целей обработки или в случае утраты необходимости в их достижении.
Порядок обезличивания включает в себя замену идентифицирующей информации о субъекте, например, одновременно фамилии, имени и отчества на произвольный код (далее - идентификатор).
В случае если обезличенные персональные данные используются в статистических или иных исследовательских целях, сроки обработки и хранения персональных данных устанавливаются руководством Комитета исходя из служебной необходимости, получение согласия субъекта на обработку его персональных данных в данном случае не требуется на основании пункта 9 части 1 статьи 6 Федерального закона «О персональных данных».
Методы и способы защиты информации от несанкционированного доступа для обеспечения безопасности обезличенных персональных данных в информационных системах и целесообразность их применения определяются ответственным за организацию обработки персональных данных в Комитете индивидуально для каждой информационной системы персональных данных.
Приложение № 6 к приказу
Государственного комитета конкурентной
политики Республики Крым
от «Лу*.,/ 2019 года №
ПОРЯДОК
доступа служащих Государственного комитета конкурентной политики
Республики Крым в помещения, в которых ведётся обработка персональных
данных
1. Общие положения
Настоящий порядок разработан в целях обеспечения безопасности персональных данных, средств вычислительной техники информационных систем персональных данных, материальных носителей персональных данных, а также обеспечения внутриобъектового режима.
Документ устанавливает правила доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях.
Объектами охраны Г осударственного комитета конкурентной политики Республики Крым (далее - Комитет) являются:
1) помещения, в которых происходит обработка персональных данных, как с использованием средств автоматизации, так и без таковых, в том числе серверные помещения;
2) помещения, в которых хранятся материальные носители персональных данных и резервные копии персональных данных;
3) помещения, в которых установлены криптографические средства, предназначенные для шифрования персональных данных, в том числе носители ключевой информации (далее спецпомещения).
Бесконтрольный доступ посторонних лиц в указанные помещения исключён.
Посторонними лицами считаются работники Комитета, не допущенные к обработке персональных данных и лица, не являющиеся работниками Комитета.
К спецпомещениям, предъявляются дополнительные требования по безопасности, указанные в разделе 4.
Ответственность за соблюдение положений настоящего порядка несут работники структурных подразделений, допущенные в помещения, являющиеся объектами охраны, а также их руководители.
Контроль соблюдения требований настоящей инструкции обеспечивает работник, назначенный ответственным за организацию обработки персональных данных в Комитете.
Ограждающие конструкции объектов охраны должны предполагать существенные трудности для нарушителя по их преодолению.
Например: металлические решётки на окнах, металлическая дверь, система
контроля и управления доступа и так далее.
2. Правила доступа в помещения, в которых ведётся обработка персональных данных
Доступ посторонних лиц в помещения, в которых ведется обработка персональных данных, а также хранятся материальные носители персональных данных и резервные копии персональных данных, должен осуществляется только ввиду служебной необходимости и под контролем сопровождающего лица, из числа работников, допущенных к обработке персональных данных.
При этом должны быть приняты меры, исключающие ознакомление посторонних лиц с персональными данными. Пример: мониторы повернуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке (накрыты чистыми листами бумаги).
При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также ситуаций, которые могут создавать угрозу жизни и здоровью граждан, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться доступ в помещения, в которых ведется обработка персональных данных лиц из числа работников Комитета, не допущенных к обработке персональных данных.
В нерабочее время все окна и двери в помещениях (в том числе в смежные помещения), в которых ведется обработка персональных данных, должны быть надежно закрыты, материальные носители персональных данных должны быть убраны в запираемые шкафы (сейфы), компьютеры выключены либо заблокированы.
Доступ работников в помещения, в которых ведется обработка персональных данных в нерабочее время, допускается по распоряжению руководства Комитета.
3. Правила доступа в серверные помещения
Доступ в серверные помещения, в которых ведётся обработка персональных данных осуществляется в соответствии со списком, утверждённым в Комитете.
Уборка серверных помещений происходит только под контролем лица, из указанных в утверждённом списке.
Доступ в серверные помещения посторонних лиц допускается по согласованию с ответственным за обеспечение безопасности информационных систем персональных данных.
Нахождение в серверных помещениях посторонних лиц без сопровождающего запрещено.
При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также других ситуаций, которые могут создавать угрозу жизни и здоровью граждан, доступ в серверные помещения, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться без
согласования с ответственным за обеспечение безопасности информационных систем персональных.
Доступ работников в серверные помещения в нерабочее время допускается по распоряжению руководства Комитета.
4. Правила доступа в спецпомещения
Спецпомещения выделяют с учётом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к криптосредствам. Помещения должны иметь прочные входные двери с замками, гарантирующими надёжное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решётками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.
Расположение спецпомещения, специальное оборудование и организация режима в спецпомещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
Для предотвращения просмотра извне спецпомещений их окна должны быть защищены.
Спецпомещения должны быть оснащены входными дверьми с замками. Должно быть обеспечено постоянное закрытие дверей спецпомещений на замок и открытие только для санкционированного прохода, а также опечатывание спецпомещений по окончании рабочего дня или оборудование спецпомещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии спецпомещений.
Доступ в спецпомещения осуществляется в соответствии с перечнем лиц, имеющих право доступа в помещения, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, утверждённым приказом председателя Комитета.
Доступ иных лиц в спецпомещения может осуществляться под контролем лиц, имеющих право допуска в спецпомещения.
При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также ситуаций, которые могут создавать угрозу жизни и здоровью граждан, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться доступ в спецпомещения иных лиц их числа работников Комитета.
Сотрудники органов МЧС и аварийных служб, врачи «скорой помощи» допускаются в спецпомещения для ликвидации нештатной ситуации, иных чрезвычайных ситуаций или оказания медицинской помощи в сопровождении руководителя структурного подразделения Комитета.
При утрате ключа от входной двери в спецпомещение замок необходимо
заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением.
Доступ работников в спецпомещения в нерабочее время допускается на основании служебных записок (или иных видов разрешающих документов), подписанных председателем Комитета.
Нахождение в спецпомещениях посторонних лиц в нерабочее время запрещается.
ГОСУДАРСТВЕННЫЙ КОМИТЕТ КОНКУРЕНТНОЙ ПОЛИТИКИ РЕСПУБЛИКИ КРЫМ
ПРИКАЗ
ОТ 23.04.2019
№ 52/ОД
О МЕРАХ, НАПРАВЛЕННЫХ НА РЕАЛИЗАЦИЮ ТРЕБОВАНИЙ ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 21 МАРТА 2012 ГОДА №211 «ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ МЕР, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ, ПРЕДУСМОТРЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ, ОПЕРАТОРАМИ, ЯВЛЯЮЩИМИСЯ ГОСУДАРСТВЕННЫМИ ИЛИ МУНИЦИПАЛЬНЫМИ ОРГАНАМИ»
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и во исполнение требований постановления Правительства Российской Федерации от 21 марта 2012 года №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»,
ПРИКАЗЫВАЮ:
1. Утвердить:
1) Политику обработки персональных данных Государственного комитета конкурентной политики Республики Крым (приложением 1);
2) Правила обработки персональных данных в Государственном комитете конкурентной политики Республики Крым (приложение № 2);
3) Правила рассмотрения запросов субъектов персональных данных или их представителей (приложение № 3);
4) Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Государственном комитете конкурентной политики Республики Крым (приложение № 4);
5) Правила работы с обезличенными данными в Государственном комитете конкурентной политики Республики Крым (приложение № 5);
6) Порядок доступа служащих Государственного комитета конкурентной политики Республики Крым в помещения, в которых ведётся обработка персональных данных (приложение № 6);
2. Приказ Государственного комитета конкурентной политики Республики Крым от 10.07.2017 № 177/ОД считать утратившим силу.
3. Контроль за исполнением настоящего приказа оставляю за собой.
Председатель
Н.Н. Борисенко
Приложение № 1 к приказу
Государственного комитета конкурентной политики Республики Крым от « » 2019 года №
ПОЛИТИКА
обработки персональных данных Государственного комитета конкурентной
политики Республики Крым
1. Общие положения
1.1. Назначение политики
Настоящий документ (далее - Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в Государственном комитете конкурентной политики Республики Крым (далее - Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.
1.2. Основные понятия
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
оператор персональных данных (Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3. Основные права Оператора
Оператор оставляет за собой право проверить полноту и точность предоставленных персональных данных. В случае выявления ошибочных или неполных персональных данных, Оператор имеет право прекратить все отношения с субъектом персональных данных.
1.4. Основные обязанности оператора
Оператор не собирает персональные данные, не обрабатывает и не передаёт персональные данные субъектов персональных данных третьим лицам, без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.5. Основные права субъекта
Субъект персональных данных имеет право:
1) получить сведения, касающиеся обработки его персональных данных Оператором;
2) потребовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3) отозвать согласие на обработку персональных данных в предусмотренных законом случаях.
2. Цели сбора персональных данных
Целями обработки персональных данных являются:
1) исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
2) рассмотрение обращений граждан;
3) обеспечение реализации государственной политики в сфере закупок;
4) обработка персональных данных в соответствии с трудовым законодательством, а также осуществление мер по противодействию коррупции.
3. Правовые основания обработки персональных данных
Оператор обрабатывает персональные данные, руководствуясь:
1) Положением о Государственном комитете конкурентной политики Республики Крым;
2) ст. ст. 85-90 Трудового кодекса РФ;
3) части 4-6 статьи 15 Федерального закона от 5 апреля 2013 года № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
4) Федеральный закон от 02 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
5) Федеральный закон от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
6) п. 7 Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденного Указом Президента Российской Федерации от 01 февраля 2005 № 112;
7) 5 п. 3 ст. 24 Налогового кодекса Российской Федерации;
8) ст. 17 Федерального закона от 21 ноября 1996 года № 129-ФЗ «О бухгалтерском учете»;
9) Федеральный закон от 22 октября 2004 года № 125-ФЗ «Об архивном деле в Российской Федерации».
4. Объем и категории обрабатываемых персональных данных, категории
субъектов персональных данных
Оператор осуществляет на законной и справедливой основе обработку
персональных данных следующих физических лиц (субъектов ПДн):
Цель «исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) контрагенты:
Иные категории: фамилия, имя, отчество, ИНН, банковские реквизиты, ОГРНИП, паспортные данные, дата рождения, год рождения, контактные сведения, образование, данные о наличии или отсутствии судимости.
Объем: менее чем 100 000 субъектов персональных данных
Цель «рассмотрение обращений граждан» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) граждане:
Иные категории: адрес, фамилия, имя, отчество, контактные сведения.
Объем: менее чем 100 000 субъектов персональных данных
Цель «обеспечение реализации государственной политики в сфере закупок» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) участники закупочных процедур:
Иные категории: фамилия, имя, отчество, контактные сведения, образование, паспортные данные, ОГРНИП, дата рождения, сведения о наличии или отсутствии судимости, ИНН, адрес.
Объем: менее чем 100 000 субъектов персональных данных
Цель «обработка персональных данных в соответствии с трудовым законодательством, а также осуществление мер по противодействию коррупции» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) работники:
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, социальное положение, имущественное положение, доходы, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, сведения о пребывании за границей, полис ОМС, свидетельство государственной регистрации актов гражданского состояния, сведения об ученой степени, информация о владении иностранными языками, фотография, информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, сведения об обязательствах имущественного характера, номер банковской карты, номер расчетного счета, классный чин.
Объем: менее чем 100 000 субъектов персональных данных
2) соискатели на замещение вакантных должностей государственной гражданской службы:
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, социальное положение, доходы, имущественное положение, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, полис ОМС, свидетельство государственной регистрации актов гражданского состояния, сведения об ученой степени, информация о владении иностранными языками, фотография, сведения о пребывании за границей, классный чин, информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, сведения об обязательствах имущественного характера.
Объем: менее чем 100 000 субъектов персональных данных
3) уволенные (уволившиеся) работники:
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, адрес, место рождения, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, социальное положение, имущественное положение, доходы, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, сведения о пребывании за границей, полис ОМС, свидетельство государственной регистрации актов гражданского состояния, сведения об ученой степени, информация о владении иностранными языками, фотография, классный чин, информация о наличии или отсутствии судимости, информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, сведения об обязательствах имущественного характера, номер банковской карты, номер расчетного счета.
Объем: менее чем 100 000 субъектов персональных данных
4) ближайшие родственники работников (в т. ч. уволенных):
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, степень родства, имущественное положение, социальное положение, доходы, информация о трудовой деятельности, трудоспособность, адрес, дата выезда за границу на постоянное место жительства, обязательства имущественного характера, гражданство, семейное положение, состав семьи.
Объем: менее чем 100 000 субъектов персональных данных
5. Порядок и условия обработки персональных данных
5Л. Перечень действий с персональными данными, осуществляемых Оператором
Оператором осуществляются следующие действия с персональными данными: запись, извлечение, использование, накопление, обезличивание,
передача (распространение, предоставление, доступ), сбор, систематизация, удаление, уничтожение, уточнение (обновление, изменение), хранение.
5.2. Способы обработки персональных данных
Оператором применяются следующие способы обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети и сети интернет.
5.3. Передача персональных данных третьим лицам
В случае поручения обработки персональных данных третьему лицу, ему предъявляются требования принимать необходимые организационные, технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, в том числе: определение угроз безопасности персональных данных при их обработке в информационных системах; учёт машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.
При передаче персональных данных на основе федерального закона условия передачи персональных данных устанавливаются соответствующим федеральным законом.
5.4. Обеспечение безопасности персональных данных Оператором достигается, в частности следующими мерами:
1) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер;
2) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону «О персональных данных» и внутренним документам Оператора по вопросам обработки персональных данных;
3) ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
4) издание политики Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
5) учет машинных носителей персональных данных;
6) назначение ответственного за организацию обработки персональных данных;
7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (сертифицированные СЗИ);
9) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы
персональных данных;
10) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
11) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
12) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
13) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
5.5. Базы персональных данных Оператора находятся полностью в пределах территории Российской Федерации
5.6. Сроки обработки персональных данных
Персональные данные субъектов, обрабатываемые Оператором подлежат уничтожению либо обезличиванию в случае:
1) достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;
2) прекращения деятельности Оператора.
5.7. Условия обработки персональных данных без использования средств автоматизации
При обработке персональных данных, осуществляемой без использования средств автоматизации, Оператор выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6. Регламент реагирования на запросы обращения субъектов персональных
данных и их представителей
При обращении, запросе в письменной или электронной форме субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Оператор руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ «О персональных данных»;
Субъект или его законный представитель может воспользоваться формами запросов, указанными в приложениях 1-3 к данной Политике.
Доступ субъекта персональных данных или его законного представителя к своим персональным данным Оператор предоставляет только под контролем ответственного за организацию обработки персональных Оператора.
Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
Запрос в письменной или электронной форме субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным.
Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.
В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152- ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.
Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает работника (работников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.
Сведения о наличии персональных данных Оператор предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.
Сведения о наличии персональных данных предоставляются субъекту при ответе на запрос в течение тридцати дней от даты получения запроса субъекта персональных данных или его законного представителя.
7. Регламент реагирования на запросы обращения уполномоченных органов
В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ Оператор сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.
Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением работников Оператора.
В течение установленного срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.
Приложение № 1
к Политике обработки персональных данных
Форма запроса субъекта персональных данных, в случае выявления
недостоверных персональных данных
Председателю
Государственного комитета конкурентной политики Республики Крым Н.Н. Борисенко
от
(Ф.И.О., номер основного документа, удостоверяющего личность
субъекта или его законного представителя, сведения о дате выдачи
указанного документа и выдавшем органе,
адрес, контактные данные)
ЗАПРОС
на уточнение/блокирование/уничтожение персональных данных,
в связи с выявлением недостоверных персональных данных
Прошу:
□
уточнить
□
заблокировать
□
уничтожить
мои персональные данные, обрабатываемые в Государственном комитете конкурентной политики Республики Крым, в связи с выявлением следующих недостоверных сведений:
(перечислить)
(дата)
(подпись)
(расшифровка)
Приложение № 2
к Политике обработки персональных данных
Форма запроса субъекта персональных данных, в случае выявления
недостоверных персональных данных
Председателю
Государственного комитета конкурентной политики Республики Крым Н.Н. Борисенко
от
(Ф.И.О., номер основного документа, удостоверяющего личность
субъекта или его законного представителя, сведения о дате выдачи
указанного документа и выдавшем органе,
адрес, контактные данные)
ЗАПРОС
на прекращение обработки персональных данных
Прошу прекратить обработку моих персональных данных в связи с:
(описать причину)
(дата)
(подпись)
(расшифровка)
Приложение № 3
к Политике обработки персональных данных
Форма запроса субъекта персональных данных на предоставление доступа к своим
персональным данным
Председателю
Государственного комитета конкурентной политики Республики Крым Н.Н. Борисенко
от
(Ф.И.О., номер основного документа, удостоверяющего личность
субъекта или его законного представителя, сведения о дате выдачи
указанного документа и выдавшем органе,
адрес, контактные данные)
ЗАПРОС
на получение доступа к персональным данным
Прошу предоставить мне для ознакомления следующую информацию (в том числе документы), составляющую мои персональные данные:
(описать причину)
(дата)
(подпись)
(расшифровка)
Приложение № 2 к приказу
Государственного комитета конкурентной политики Республики Крым от «» 2019 года №
ПРАВИЛА
обработки персональных данных в Государственном комитете конкурентной
политики Республики Крым
1. Основные понятия
В настоящем документе используются следующие основные понятия: автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
безопасность персональных данных - состояние защищённости персональных данных, при котором обеспечиваются их конфиденциальность, доступность и целостность при их обработке;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
обработка персональных данных - любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (в том числе распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными данными;
персональные данные - любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных);
предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Общие положения
Настоящие правила разработаны для обеспечения безопасности персональных данных при их обработке в информационных системах
персональных данных Государственного комитета конкурентной политики Республики Крым (далее - Комитет), а также защиты прав и свобод граждан при обработке их персональных данных в Комитете, в том числе право на
неприкосновенность частной жизни, личную и семейную тайну, а также
разъяснение ответственности должностных лиц (служащих), имеющих доступ к персональным данным, за невыполнение требований норм и правил,
регулирующих обработку и защиту персональных данных.
Настоящие правила устанавливают порядок обработки персональных данных субъектов персональных данных в Комитете и направлены на выявление, предотвращение и профилактику нарушений законодательства Российской Федерации в сфере персональных данных.
Субъектами персональных данных в Комитете являются:
1) ближайшие родственники работников (в т.ч. уволенных);
2) граждане;
3) контрагенты;
4) работники;
5) соискатели на замещение вакантных должностей государственной гражданской службы;
6) уволенные (уволившиеся) работники;
7) участники закупочных процедур.
Настоящие правила определяют необходимый минимальный объём мер, соблюдение которых позволяет предотвратить утечку сведений, относящихся к персональным данным. При необходимости могут быть введены дополнительные меры, направленные на усиление защиты персональных данных.
Настоящие правила разработаны в соответствии со следующими нормативно-правовыми актами Российской Федерации:
1) Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, ратифицированная Федеральным законом Российской Федерации
от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» в рамках, определяемых данным Федеральным законом, заявлений;
2) Конституция Российской Федерации;
3) Еражданский кодекс Российской Федерации;
4) Кодекс об Административных Правонарушениях Российской Федерации;
5) Трудовой кодекс Российской Федерации;
6) Уголовный кодекс Российской Федерации;
7) Федеральный закон от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской федерации»;
8) Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ);
9) Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
10) Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 года № 188;
11) Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;
12) Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утверждённый постановлением Правительства Российской Федерации от 21 марта 2012 года №211;
13) Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119.
В соответствии с законодательством Российской Федерации об обработке и защите персональных данных персональные данные субъектов являются конфиденциальной информацией.
В случаях, предусмотренных действующим законодательством, сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего, его супруги (супруга) и несовершеннолетних детей могут размещаться на официальном сайте Комитета или предоставляться региональным средствам массовой информации по их запросам для последующего опубликования.
Порядок регистрации, учёта, оформления, тиражирования, хранения, использования и уничтожения документов и других материальных носителей персональных данных определяют законодательство Российской Федерации об обработке и защите персональных данных, а также действующие нормативные правовые акты Комитета.
Комитет является оператором персональных данных субъектов, указанных в настоящем документе. На основании соглашения (договора) Комитет может поручать обработку персональных данных третьим лицам, с согласия субъекта персональных данных, а в случае если иное предусмотрено действующим законодательством Российской Федерации, то и без их согласия. Существенным условием соглашения (договора) по обработке персональных данных является обязанность обеспечения этими лицами конфиденциальности и безопасности персональных данных субъектов.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции Российской Федерации, Комитет вправе получать и обрабатывать данные о частной жизни гражданских служащих и(или) работников Комитета только с их письменного согласия.
Комитет не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.
Настоящие Правила вступают в силу с момента их утверждения и действуют до замены их новыми Правилами обработки персональных данных.
Все изменения в Правила вносятся приказом председателя Комитета.
3. Цель и содержание обработки персональных данных
Целями обработки персональных данных в Комитете являются:
1) исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
2) рассмотрение обращений граждан;
3) обеспечение реализации государственной политики в сфере закупок;
4) обработка персональных данных в соответствии с трудовым законодательством, а также осуществление мер по противодействию коррупции.
Цель «исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также
заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) контрагенты:
Иные категории: фамилия, имя, отчество, ИНН, банковские реквизиты, ОГРНИП, паспортные данные, дата рождения, год рождения, контактные сведения, образование, данные о наличии или отсутствии судимости.
Объем: менее чем 100 000 субъектов персональных данных.
Цель «рассмотрение обращений граждан» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) граждане:
Иные категории: адрес, фамилия, имя, отчество, контактные сведения.
Объем: менее чем 100 000 субъектов персональных данных.
Цель «обеспечение реализации государственной политики в сфере закупок» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) участники закупочных процедур:
Иные категории: фамилия, имя, отчество, контактные сведения, образование, паспортные данные, ОГРНИП, дата рождения, сведения о наличии или отсутствии судимости, ИНН, адрес.
Объем: менее чем 100 000 субъектов персональных данных.
Цель «обработка персональных данных в соответствии с трудовым законодательством, а также осуществление мер по противодействию коррупции» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
1) работники:
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, социальное положение, имущественное положение, доходы, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, сведения о пребывании за границей, полис ОМС, свидетельство государственной регистрации актов гражданского состояния, сведения об ученой степени, информация о владении иностранными языками, фотография, информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, сведения об обязательствах имущественного характера, номер банковской карты, номер расчетного счета, классный чин.
Объем: менее чем 100 000 субъектов персональных данных.
2) соискатели на замещение вакантных должностей государственной гражданской службы:
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, социальное положение, доходы, имущественное положение, образование,
профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, полис ОМС, свидетельство государственной регистрации актов гражданского состояния, сведения об ученой степени, информация о владении иностранными языками, фотография, сведения о пребывании за границей, классный чин, информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, сведения об обязательствах имущественного характера.
Объем: менее чем 100 000 субъектов персональных данных.
3) уволенные (уволившиеся) работники:
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, адрес, место рождения, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, социальное положение, имущественное положение, доходы, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, сведения о пребывании за границей, полис ОМС, свидетельство государственной регистрации актов гражданского состояния, сведения об ученой степени, информация о владении иностранными языками, фотография, классный чин, информация о наличии или отсутствии судимости, информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, сведения об обязательствах имущественного характера, номер банковской карты, номер расчетного счета.
Объем: менее чем 100 000 субъектов персональных данных.
4) ближайшие родственники работников (в т.ч. уволенных):
Иные категории: фамилия, имя, отчество, год рождения, дата рождения, степень родства, имущественное положение, социальное положение, доходы, информация о трудовой деятельности, трудоспособность, адрес, дата выезда за границу на постоянное место жительства, обязательства имущественного характера, гражданство, семейное положение, состав семьи.
Объем: менее чем 100 000 субъектов персональных данных.
4. Правила обработки персональных данных
Все персональные данные субъектов Комитет получает на законной основе.
Персональные данные ближайших родственников работников (служащих), необходимые для ведения кадрового учёта, Комитет получает от самих работников.
Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных.
Субъект персональных данных принимает решение о предоставлении своих персональных данных и даёт согласие на их обработку своей волей и в своём интересе.
Комитет оставляет за собой право не осуществлять свои функции в отношении субъекта персональных данных в случае предоставления неполных или недостоверных персональных данных, а также в случае отказа дать письменное согласие на обработку персональных данных.
При установлении договорных отношений с субъектом персональных данных получение письменного согласия на обработку его персональных данных
не требуется.
Получение персональных данных субъекта у третьих лиц возможно только при предварительном уведомлении субъекта и с его письменного согласия.
Персональные данные субъектов Комитета обрабатываются в структурных подразделениях в соответствии с исполняемыми функциями.
Доступ к персональным данным, обрабатываемым без использования средств автоматизации, осуществляется в соответствии со списком, утверждённом в порядке, определяемом в Комитете.
Доступ к персональным данным, обрабатываемым в информационных системах персональных данных, осуществляется в соответствии со списком, утверждённом в порядке, определяемом в Комитете.
Уполномоченные лица, допущенные к персональным данным субъектов Комитета, имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностными инструкциями указанных лиц.
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» утверждённого Постановлением Правительства РФ от 15 сентября 2008 № 687.
Персональные данные при такой их обработке, должны обособляться от иной информации, в частности путём фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются приказом об утверждении мест хранения материальных носителей персональных данных Комитета.
Персональные данные подлежат уничтожению либо обезличиванию в случаях достижения целей или в случае утраты необходимости в достижении этих целей, отзыва согласия субъекта персональных данных, выявления неправомерной обработки персональных данных, если иное не предусмотрено федеральным законом Российской Федерации.
В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Комитет вносит в них необходимые изменения, а также уведомляет субъекта о внесённых изменениях.
Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки персональных данных, если иное не предусмотрено федеральным законом Российской Федерации.
Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента отзыва согласия субъекта персональных данных.
Уничтожение персональных данных осуществляется в срок, не
превышающий 7 рабочих дней с момента представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
Уничтожение персональных данных осуществляется в срок, не
превышающий 10 рабочих дней с момента выявления неправомерной обработки персональных данных. Комитет уведомляет об этом субъекта или его законного представителя.
Уничтожение персональных данных на бумажных носителях осуществляет комиссия в составе руководителя и работников структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость уничтожения персональных данных под контролем руководителя этого структурного подразделения.
Способ уничтожения материальных носителей персональных данных определяется комиссией. Допускается применение следующих способов:
1) сжигание;
2) шредирование (измельчение);
3) передача на специализированные полигоны (свалки);
4) химическая обработка.
При этом составляется «Акт уничтожения документов Комитета, содержащих персональные данные субъекта». Форма акта утверждается отдельным приказом.
При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае комиссия Комитета должна присутствовать при уничтожении материальных носителей персональных данных. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей персональных данных, подлежащих уничтожению, в специализированную организацию.
Уничтожение полей баз данных Комитета, содержащих персональные
данные субъекта, выполняется по заявке руководителя структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.
Уничтожение полей баз данных Комитета, содержащих персональные
данные субъекта, осуществляет комиссия, в состав которой входят лица, ответственные за администрирование автоматизированных систем, которым принадлежат базы данных, работники структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.
Уничтожение полей баз данных комитета, содержащих персональные
данные субъекта, достигается путём затирания информации на носителях информации (в том числе и резервных копиях) или путём механического
нарушения целостности носителя информации, не позволяющего произвести считывание или восстановление персональных данных. При этом составляется «Акт уничтожения полей баз данных комитета, содержащих персональные данные субъекта». Форма акта утверждается отдельным приказом.
Уничтожение архивов электронных документов и протоколов электронного
взаимодействия может не производиться, если ведение и сохранность их в течение определённого срока предусмотрены соответствующими нормативными и (или) договорными документами.
При невозможности осуществления затирания информации на носителях допускается проведение обезличивания путём перезаписи полей баз данных, которые позволяют определить субъекта, данными, исключающими дальнейшее определение субъекта.
Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных в Комитете.
Обработка биометрических персональных данных (фотография, отпечатки пальцев, сетчатки глаза и другое), в соответствии со статьёй 11 Федерального закона № 152, допускается при наличии согласия субъекта. Форма согласия утверждается отдельным приказом.
Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.
Работники (служащие) Комитета должны быть ознакомлены под роспись с требованиями законодательства Российской Федерации, касающимися обработки персональных данных, настоящими Правилами и другими документами комитета, устанавливающими порядок обработки персональных данных субъектов, а также права и обязанности в этой области.
5. Передача персональных данных третьим лицам
При обработке персональных данных субъекта должны соблюдаться
следующие требования:
1) не сообщать персональные данные субъекта третьей стороне без
письменного согласия субъекта. Форма согласия утверждается отдельным приказом. Допускается совмещение формы согласия субъекта с типовыми
формами документов, содержащими персональные данные субъекта, при условии соблюдения требований статьи 9 Федерального закона № 152;
2) предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности в отношении этих данных.
При необходимости трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, комитет запрашивает согласие субъекта в письменной форме. Форма согласия утверждается отдельным приказом.
6. Права субъектов персональных данных
В целях обеспечения своих интересов субъекты имеют право:
1) получать полную информацию о своих персональных данных и обработке
этих данных (в том числе автоматизированной);
2) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом;
3) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона № 152-ФЗ. Субъект персональных данных, при отказе комитета исключить или исправить персональные данные субъекта, имеет право заявлять в письменной форме о своём несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;
4) требовать от Комитета уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведённых в них изменениях или исключениях из них;
5) обжаловать в суде любые неправомерные действия или бездействие комитета при обработке и защите персональных данных субъекта.
7. Порядок действий в случае запросов надзорных органов
В соответствии с частью 4 статьи 20 Федерального закона № 152 Комитет сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.
Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных в Комитете при необходимости с привлечением работников (служащих) Комитета.
В течение установленного законодательством срока ответственный за организацию обработки персональных данных в Комитете подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.
8. Защита персональных данных субъекта
Защиту персональных данных субъектов от неправомерного их использования или утраты Комитет обеспечивает за счёт собственных средств в порядке, установленном законодательством Российской Федерации.
При обработке персональных данных должны быть приняты необходимые организационные и технические меры по обеспечению их конфиденциальности.
Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:
1) РД ФСТЭК России - «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждены приказом ФСТЭК России № 21 от 18 февраля 2013 года;
2) специальными требованиями и рекомендациями по технической защите
конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002 года № 282;
3) внутренними документами Комитета, действующими в сфере обеспечения информационной безопасности.
Защита персональных данных предусматривает ограничение к ним доступа.
Ответственные за организацию обработки персональных данных, администрирование средств и механизмов защиты, техническое обслуживание информационных систем персональных данных назначаются приказом председателя Комитета.
Руководитель структурного подразделения Комитета, осуществляющего обработку персональных данных:
1) несёт ответственность за организацию защиты персональных данных в структурном подразделении;
2) организует изучение уполномоченными работниками нормативных правовых актов по защите персональных данных и требует их неукоснительного исполнения;
3) обеспечивает режим конфиденциальности в отношении персональных данных, обрабатываемых в структурном подразделении (отделе);
4) контролирует порядок доступа к персональным данным в соответствии с функциональными обязанностями работников подразделения.
Работники (служащие), допущенные к персональным данным дают письменное обязательство о неразглашении таких данных.
9. Обязанности лиц, допущенных к обработке персональных данных
Лица, допущенные к работе с персональными данными, обязаны:
1) знать законодательство Российской Федерации в области обработки и защиты персональных данных, нормативные документы комитета по защите персональных данных;
2) сохранять конфиденциальность персональных данных;
3) обеспечивать сохранность закреплённых за ними носителей персональных данных;
4) контролировать срок истечения действия согласий на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки персональных данных;
5) докладывать своему непосредственному руководителю обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.
10. Ответственность за нарушение норм, регулирующих обработку и защиту
персональных данных субъектов
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности в соответствии с действующим законодательством Российской Федерации.
К данным лицам могут быть применены следующие дисциплинарные взыскания:
1) замечание;
2) выговор;
3) предупреждение о неполном должностном соответствии;
4) увольнение с гражданской службы.
Приложение № 3 к приказу
Государственного комитета конкурентной политики Республики Крым от « » 2019 года №
ПРАВИЛА
рассмотрения запросов субъектов персональных данных
или их представителей
Государственный комитет конкурентной политики Республики Крым (далее - Комитет) руководствуется требованиями статей 14, 18 и 20 Федерального закона Российской Федерации от 27 июля 2006 года № 152 «О персональных данных» при устном обращении либо письменном запросе субъекта персональных данных или его законного представителя на доступ к персональным данным субъекта.
Доступ субъекта персональных данных или его законного представителя к персональным данным субъекта Комитет предоставляет только под контролем ответственного за организацию обработки персональных данных в Комитете.
Обращение субъекта персональных данных или его законного представителя фиксируется в журнале учёта обращений граждан по вопросам обработки персональных данных. Порядок ведения журнала и ответственные за ведение определяются приказом председателя Комитета (приложение № 1).
Запрос субъекта персональных данных или его законного представителя фиксируется в журнале учета запросов граждан по вопросам обработки персональных данных. Порядок ведения журнала и ответственные за ведение определяются приказом председателя Комитета (приложение № 2).
Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекту персональных данных или его законному представителю к персональным данным указанного субъекта.
В случае, если данных, предоставленных субъектом или его законным представителем, не достаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц, ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона Российской Федерации от 27 июля 2006 года № 152 «О персональных данных» или иного федерального закона,
являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.
Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает работника (работников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.
Сведения о наличии персональных данных предоставляются субъекту
персональных данных или его законному представителю в течение тридцати дней с даты получения запроса субъекта персональных данных или его законного представителя в доступной форме, при этом в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Контроль за предоставлением сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.
Приложение № 1
к правилам рассмотрения запросов субъектов персональных данных или их представителей
ЖУРНАЛ
учета обращений граждан по вопросам обработки персональных данных
№
п/п
Дата
обращения
Ф.И.О. гражданина
Отношения субъекта ГТДн с оператором ПДн
Подпись
гражданина
Отметка о предоставлении доступа к ПДн (отказе в доступе)
Ф.И.О. должность работника,
предоставившего доступ к ПДн
1
2
3
4
5
6
7
ЖУРНАЛ
Приложение № 2
к правилам рассмотрения запросов субъектов персональных данных или их представителей
учета запросов граждан по вопросам обработки персональных данных
№
п/п
Вх. № письма
Дата
получения
запроса
Ф.И.О. гражданина
Отношения субъекта ПДн с оператором ПДн
Отметка о предоставлении доступа к ПДн (отказе в доступе)
Исх. номер и дата письма с ответом на запрос
Ф.И.О., должность, подпись работника, выдавшего ответ
1
2
3
4
5
6
7
8
Приложение № 4 к приказу
Государственного комитета конкурентной
политики Республики Крым
от « .х' у » л ,1-/’с. 2019 года №
—
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных
данных требованиям к защите персональных данных в Государственном
комитете конкурентной политики Республики Крым
1. Общие положения
Настоящие правила разработаны в соответствии с положениями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и требованиями по соблюдению мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утверждённых постановлением Правительства Российской Федерации от 21 марта 2012 года № 211, и определяют порядок организации и осуществления контроля выполнения соответствия обработки персональных данных требованиям к защите персональных данных в структурных подразделениях Государственного комитета конкурентной политики Республики Крым (далее - Комитет).
Правила обязательны для исполнения всеми должностными лицами комитета, осуществляющими контроль состояния защиты персональных данных.
Контроль выполнения соответствия обработки персональных данных требованиям к защите персональных данных в структурных подразделениях Комитета осуществляется с целью определения наличия несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, правильности обработки персональных данных ответственными лицами в структурных подразделениях, а также выработать меры по их устранению и недопущению в дальнейшем.
Контроль осуществляет ответственный за организацию обработки персональных данных в комитете.
Контроль проводится в форме плановых и внеплановых проверок. Внеплановые проверки могут быть контрольными и по частным вопросам.
Контрольные проверки проводятся для установления полноты выполнения рекомендаций плановых проверок.
Проверки по частным вопросам охватывают отдельные направления по защите персональных данных и могут проводиться в случаях, когда стали известны факты несанкционированного доступа, утечки либо утраты персональных данных субъектов Комитета или нарушения требований по обработке и защите персональных данных.
Проверки осуществляются ответственным за организацию обработки персональных данных в Комитете либо комиссией, образуемой председателем Комитета.
Сроки проведения контрольных проверок доводятся руководителям проверяемых структурных подразделений не позднее, чем за 24 часа до начала проверки.
Проверки по частным вопросам могут проводиться без уведомления руководителей проверяемых подразделений (отделов, управлений).
Периодичность и сроки проведения плановых проверок подразделений Комитета устанавливаются планом, утверждаемым председателем Комитета. Сроки проведения плановых проверок доводятся руководителям проверяемых структурных подразделений (отделов) не позднее, чем за 10 суток до начала проверки.
2. Порядок подготовки к проверке
Проверка проводится на основании приказа председателя Комитета. Ответственный за организацию обработки персональных данных в Комитете подготавливает предложения по составу комиссии. Проект приказа о проверке подготавливает ответственный за организацию обработки персональных данных в Комитете.
Проверяющие лица обязаны получить у руководителей проверяемых структурных подразделений информацию об условиях обработки персональных данных, необходимую для достижения целей проверки. Перед началом проверки они должны изучить материалы предыдущих проверок данного структурного подразделения.
3. Порядок проведения проверки
Проверка осуществляется после ознакомления руководителя проверяемого структурного подразделения с приказом о проведении проверки.
Руководитель проверяемого структурного подразделения обязан оказывать содействие комиссии по проверке и в случае необходимости определяет должностное лицо, ответственное за сопровождение проверки.
На период проведения контрольных мероприятий обработку персональных данных необходимо по возможности прекращать. Допуск проверяющих лиц к конкретным информационным ресурсам, защищаемым сведениям и техническим средствам должен исключать ознакомление проверяющих лиц с конкретными персональными данными.
Общий порядок проведения проверки включает следующее:
1) запрос в Управлении кадровой работы и делопроизводства документов о распределении обязанностей по обработке и защите персональных данных, установление факта ознакомления работников проверяемого структурного подразделения со своей ответственностью;
2) получение при содействии работников проверяемого структурного подразделения документов, касающихся обработки и защиты персональных
данных в данном структурном подразделении;
3) анализ полученной документации;
4) непосредственная проверка выполнения установленного порядка обработки и защиты персональных данных и требований законодательства Российской Федерации в области защиты персональных данных.
При этом согласовываются конкретные вопросы по объёму, содержанию, срокам проведения проверки, а также каких должностных лиц структурного подразделения необходимо привлечь к проверке.
В ходе осуществления контроля выполнения требований по обработке и защите персональных данных в проверяемом структурном подразделении Комитета рассматриваются в частности следующие показатели:
1) в части общей организации работ по обработке персональных данных:
а) соответствие информации, указанной в уведомлении об обработке персональных данных и в правилах обработки персональных данных Комитета, реальному положению дел;
б) соответствие обрабатываемой и собираемой информации (персональных данных), их полнота, в соответствии с нормативными правовыми актами и локальными актами, принятыми в Комитете;
в) знание нормативных документов работниками (служащими), имеющими доступ к персональным данным;
г) полнота и правильность выполнения требований нормативных документов комитета работниками (служащими), имеющими доступ к персональным данным;
д) соответствие документов, определяющих состав работников, ответственных за организацию защиты персональных данных в подразделении, реальному штатному составу подразделения, а также подтверждение факта ознакомления ответственных работников с данными документами;
е) уровень подготовки работников, ответственных за организацию защиты персональных данных в подразделении;
ж) наличие согласий на обработку персональных данных субъектов персональных данных. Соответствие объёма персональных данных и сроков обработки целям обработки персональных данных.
2) в части защиты персональных данных в информационных системах персональных данных (далее - ИСПДн):
а) соответствие средств вычислительной техники ИСПДн показателям, указанным в документации на ИСПДн;
б) структура и состав локальных вычислительных сетей, организация разграничения доступа пользователей к сетевым информационным ресурсам, порядок защиты охраняемых сведений при передаче (обмене) персональных данных в сети передачи данных;
в) соблюдение установленного порядка использования средств вычислительной техники ИСПДн;
г) наличие и эффективность применения средств и методов защиты персональных данных, обрабатываемых на средствах вычислительной техники;
д) соблюдение требований, предъявляемых к паролям на информационные ресурсы;
е) соблюдение требований и правил антивирусной защиты средств вычислительной техники;
ж) контроль журналов учёта носителей персональных данных. Сверка основного журнала с дублирующим (если требуется ведение дублирующего учёта носителей);
з) тестирование реализации правил фильтрации межсетевого экрана, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления настроек межсетевого экрана.
3) в части защиты информационных ресурсов и помещений:
а) правильность отнесения обрабатываемой информации к персональным данным;
б) правильность установления уровня защищенности персональных дынных в информационной системе;
в) закрепление гражданско-правовой ответственности в сфере информационной безопасности и соблюдения режима конфиденциальности персональных данных в правилах внутреннего трудового распорядка, положениях о структурных подразделениях комитета, должностных инструкциях работников (служащих) и трудовых договорах;
г) порядок передачи персональных данных органам государственной власти, местного самоуправления и сторонним организациям (контрагентам);
д) действенность принимаемых мер по защите охраняемых сведений в ходе подготовки материалов к открытому опубликованию;
е) состояние конфиденциального делопроизводства, соблюдение установленного порядка подготовки, учёта, использования, хранения и уничтожения документов, содержащих персональные данные;
ж) выполнение требований по правильному оборудованию защищаемых помещений и предотвращению утечки охраняемых сведений при проведении мероприятий конфиденциального характера;
з) соответствие защищаемых помещений их техническим паспортам.
Более подробно вопросы, подлежащие проверке, могут раскрываться в
отдельных документах (методических рекомендациях, технологических картах, памятках и т.п.).
Во время проведения проверки, выявленные нарушения требований по обработке и защите персональных данных должны быть по возможности устранены. Проверяющие лица могут дать рекомендации по устранению на месте отмечаемых нарушений и недостатков.
Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.
4. Оформление результатов проверки
Результаты проверки оформляются:
1) актом - при проведении проверки комиссией;
2) служебной запиской - при проведении проверки назначенными специалистами.
Акт и/или служебная записка составляется в двух экземплярах и подписывается членами комиссии.
Один экземпляр хранится у ответственного за организацию обработки персональных данных Комитета. Второй экземпляр хранится в Комитете в Управлении кадровой работы и делопроизводства. Копия акта о проверке остается в проверяемом структурном подразделении.
Результаты проверок структурных подразделений периодически обобщаются ответственным за организацию обработки персональных данных в Комитете и доводятся до руководителей структурных подразделений. При необходимости принятия решений по результатам проверок структурных подразделений на имя председателя Комитета готовятся соответствующие служебные записки.
Приложение № 5 к приказу
Государственного комитета конкурентной политики Республики Крым от « . 2019 года №
ПРАВИЛА
работы с обезличенными данными в Государственном комитете
конкурентной политики Республики Крым
Настоящие правила разработаны в соответствии с положениями Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральным законом «О персональных данных») и требованиями по соблюдению мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утверждённых постановлением Правительства Российской Федерации от 21 марта 2012 года №211, и определяют порядок работы с обезличенными данными в структурных подразделениях (отделах) Государственного комитета конкурентной политики Республики Крым (далее - Комитет).
Правила обязательны для исполнения всеми должностными лицами Комитета, допущенными к персональным данным.
Обезличивание персональных данных - это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Персональные данные подлежат уничтожению либо обезличиванию в случаях достижения целей обработки или в случае утраты необходимости в их достижении.
Порядок обезличивания включает в себя замену идентифицирующей информации о субъекте, например, одновременно фамилии, имени и отчества на произвольный код (далее - идентификатор).
В случае если обезличенные персональные данные используются в статистических или иных исследовательских целях, сроки обработки и хранения персональных данных устанавливаются руководством Комитета исходя из служебной необходимости, получение согласия субъекта на обработку его персональных данных в данном случае не требуется на основании пункта 9 части 1 статьи 6 Федерального закона «О персональных данных».
Методы и способы защиты информации от несанкционированного доступа для обеспечения безопасности обезличенных персональных данных в информационных системах и целесообразность их применения определяются ответственным за организацию обработки персональных данных в Комитете индивидуально для каждой информационной системы персональных данных.
Приложение № 6 к приказу
Государственного комитета конкурентной
политики Республики Крым
от «Лу*.,/ 2019 года №
ПОРЯДОК
доступа служащих Государственного комитета конкурентной политики
Республики Крым в помещения, в которых ведётся обработка персональных
данных
1. Общие положения
Настоящий порядок разработан в целях обеспечения безопасности персональных данных, средств вычислительной техники информационных систем персональных данных, материальных носителей персональных данных, а также обеспечения внутриобъектового режима.
Документ устанавливает правила доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях.
Объектами охраны Г осударственного комитета конкурентной политики Республики Крым (далее - Комитет) являются:
1) помещения, в которых происходит обработка персональных данных, как с использованием средств автоматизации, так и без таковых, в том числе серверные помещения;
2) помещения, в которых хранятся материальные носители персональных данных и резервные копии персональных данных;
3) помещения, в которых установлены криптографические средства, предназначенные для шифрования персональных данных, в том числе носители ключевой информации (далее спецпомещения).
Бесконтрольный доступ посторонних лиц в указанные помещения исключён.
Посторонними лицами считаются работники Комитета, не допущенные к обработке персональных данных и лица, не являющиеся работниками Комитета.
К спецпомещениям, предъявляются дополнительные требования по безопасности, указанные в разделе 4.
Ответственность за соблюдение положений настоящего порядка несут работники структурных подразделений, допущенные в помещения, являющиеся объектами охраны, а также их руководители.
Контроль соблюдения требований настоящей инструкции обеспечивает работник, назначенный ответственным за организацию обработки персональных данных в Комитете.
Ограждающие конструкции объектов охраны должны предполагать существенные трудности для нарушителя по их преодолению.
Например: металлические решётки на окнах, металлическая дверь, система
контроля и управления доступа и так далее.
2. Правила доступа в помещения, в которых ведётся обработка персональных данных
Доступ посторонних лиц в помещения, в которых ведется обработка персональных данных, а также хранятся материальные носители персональных данных и резервные копии персональных данных, должен осуществляется только ввиду служебной необходимости и под контролем сопровождающего лица, из числа работников, допущенных к обработке персональных данных.
При этом должны быть приняты меры, исключающие ознакомление посторонних лиц с персональными данными. Пример: мониторы повернуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке (накрыты чистыми листами бумаги).
При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также ситуаций, которые могут создавать угрозу жизни и здоровью граждан, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться доступ в помещения, в которых ведется обработка персональных данных лиц из числа работников Комитета, не допущенных к обработке персональных данных.
В нерабочее время все окна и двери в помещениях (в том числе в смежные помещения), в которых ведется обработка персональных данных, должны быть надежно закрыты, материальные носители персональных данных должны быть убраны в запираемые шкафы (сейфы), компьютеры выключены либо заблокированы.
Доступ работников в помещения, в которых ведется обработка персональных данных в нерабочее время, допускается по распоряжению руководства Комитета.
3. Правила доступа в серверные помещения
Доступ в серверные помещения, в которых ведётся обработка персональных данных осуществляется в соответствии со списком, утверждённым в Комитете.
Уборка серверных помещений происходит только под контролем лица, из указанных в утверждённом списке.
Доступ в серверные помещения посторонних лиц допускается по согласованию с ответственным за обеспечение безопасности информационных систем персональных данных.
Нахождение в серверных помещениях посторонних лиц без сопровождающего запрещено.
При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также других ситуаций, которые могут создавать угрозу жизни и здоровью граждан, доступ в серверные помещения, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться без
согласования с ответственным за обеспечение безопасности информационных систем персональных.
Доступ работников в серверные помещения в нерабочее время допускается по распоряжению руководства Комитета.
4. Правила доступа в спецпомещения
Спецпомещения выделяют с учётом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к криптосредствам. Помещения должны иметь прочные входные двери с замками, гарантирующими надёжное закрытие помещений в нерабочее время. Окна помещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решётками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.
Расположение спецпомещения, специальное оборудование и организация режима в спецпомещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
Для предотвращения просмотра извне спецпомещений их окна должны быть защищены.
Спецпомещения должны быть оснащены входными дверьми с замками. Должно быть обеспечено постоянное закрытие дверей спецпомещений на замок и открытие только для санкционированного прохода, а также опечатывание спецпомещений по окончании рабочего дня или оборудование спецпомещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии спецпомещений.
Доступ в спецпомещения осуществляется в соответствии с перечнем лиц, имеющих право доступа в помещения, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, утверждённым приказом председателя Комитета.
Доступ иных лиц в спецпомещения может осуществляться под контролем лиц, имеющих право допуска в спецпомещения.
При возникновении чрезвычайных ситуаций природного и техногенного характера, аварий, катастроф, стихийных бедствий, а также ситуаций, которые могут создавать угрозу жизни и здоровью граждан, в целях оказания помощи гражданам, предотвращения, ликвидации предпосылок и последствий нештатной ситуации, может осуществляться доступ в спецпомещения иных лиц их числа работников Комитета.
Сотрудники органов МЧС и аварийных служб, врачи «скорой помощи» допускаются в спецпомещения для ликвидации нештатной ситуации, иных чрезвычайных ситуаций или оказания медицинской помощи в сопровождении руководителя структурного подразделения Комитета.
При утрате ключа от входной двери в спецпомещение замок необходимо
заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением.
Доступ работников в спецпомещения в нерабочее время допускается на основании служебных записок (или иных видов разрешающих документов), подписанных председателем Комитета.
Нахождение в спецпомещениях посторонних лиц в нерабочее время запрещается.
Дополнительные сведения
| Государственные публикаторы: | официальный сайт органа от 25.04.2019 |
| Рубрики правового классификатора: | 010.120.000 Исполнительная власть (см. 020.010.000) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
