Основная информация
Дата опубликования: | 27 декабря 2017г. |
Номер документа: | RU03000201701494 |
Текущая редакция: | 1 |
Статус нормативности: | Нормативный |
Субъект РФ: | Республика Башкортостан |
Принявший орган: | Государственный комитет Республики Башкортостан по информатизации и вопросам функционирования системы "Открытая Республика" |
Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
ГОСУДАРСТВЕННЫЙ КОМИТЕТ РЕСПУБЛИКИ БАШКОРТОСТАН ПО ИНФОРМАТИЗАЦИИ И ВОПРОСАМ ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ «ОТКРЫТАЯ РЕСПУБЛИКА»
ПРИКАЗ
от 27.12.2017 № 163-ОД
О ВВЕДЕНИИ В ДЕЙСТВИЕ ДОКУМЕНТОВ, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ, ПРЕДУСМОТРЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ
Зарегистрирован в Государственном комитете Республики Башкортостан по делам юстиции 08.06.2018 № 11321
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» ПРИКАЗЫВАЮ:
1. Утвердить:
Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» согласно приложению № 1 к настоящему приказу;
Правила рассмотрения запросов субъектов персональных данных или их представителей в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» согласно приложению № 2 к настоящему приказу;
Правила осуществления внутреннего контроля соответствия обработки персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» согласно приложению № 3 к настоящему приказу;
Правила работы с обезличенными данными в случае обезличивания персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» согласно приложению № 4 к настоящему приказу;
Перечень сведений конфиденциального характера в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» согласно приложению № 5 к настоящему приказу.
2. Контроль за исполнением настоящего приказа оставляю за собой.
Председатель Р.Р. Таипов
Приложение № 1 к приказу
Государственного комитета
Республики Башкортостан
по информатизации и вопросам
функционирования системы
«Открытая Республика»
от 27 декабря 2017 года № 163-ОД
Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
I Общие положения
1. Настоящие Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее – Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
2. Настоящие Правила определяют цели обработки персональных данных, категории субъектов, персональные данные которых обрабатываются в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее –Госкомитет РБ по информатизации), содержание обрабатываемых персональных данных, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
II Цели обработки персональных данных
2.1. Обработка персональных данных осуществляется Госкомитетом РБ по информатизации в следующих целях:
- выполнение требований трудового законодательства Российской Федерации и законодательства о государственной гражданской службе Российской Федерации в части ведения бухгалтерского учета, исполнение условий договоров гражданско-правового характера;
- выполнение требований трудового законодательства Российской Федерации и законодательства о государственной гражданской службе Российской Федерации и Республики Башкортостан в части ведения кадрового учета, заключение служебных контрактов, трудовых и иных договоров, ведение личных дел (карточек), ведение воинского учета;
- рассмотрение обращений граждан.
III Категории субъектов, персональные данные которых обрабатываются,
сроки их обработки и хранения
3.1. К субъектам персональных данных, персональные данные которых обрабатываются в Госкомитете РБ по информатизации в соответствии с настоящими Правилами, относятся:
государственные гражданские служащие Республики Башкортостан, замещающие должность государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации (далее – гражданские служащие);
1) граждане, претендующие на замещение должностей государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации;
2) работники Госкомитета РБ по информатизации, замещающие должности, не являющиеся должностями государственной гражданской службы Республики Башкортостан;
3) граждане, претендующие на замещение должностей, не являющихся должностями государственной гражданской службы Республики Башкортостан;
4) лица, замещающие должности руководителей организаций, находящихся в ведении Госкомитета РБ по информатизации;
5) граждане, претендующие на замещение должностей руководителей и организаций, находящихся в ведении Госкомитета РБ по информатизации;
6) лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1-6 пункта3.1 настоящих Правил;
7) лица, представляемые к награждению, наградные материалы по которым представлены в Госкомитете РБ по информатизации;
8) граждане, обратившиеся в Госкомитет РБ по информатизации в соответствии с Федеральным законом от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
3.2. Персональные данные обрабатываются в сроки, обусловленные заявленными целями их обработки.
3.3. Обработка персональных данных осуществляется с момента их получения Госкомитетом РБ по информатизации и прекращается:
- по достижении целей обработки персональных данных;
- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.
3.4. Сроки хранения персональных данных, содержащиеся на материальных носителях информации, устанавливаются в соответствии с номенклатурой дел Госкомитета РБ по информатизации.
IV Содержание обрабатываемых персональных данных
4.1. В соответствии с целями обработки персональных данных, указанными в п. 2.1 настоящих Правил, Госкомитетом РБ по информатизации осуществляется обработка следующих персональных данных:
1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
6) адрес места жительства (адрес регистрации, фактического проживания):
7) номер контактного телефона или сведения о других способах связи;
8) реквизиты страхового свидетельства государственного пенсионного страхования;
9) идентификационный номер налогоплательщика;
10) реквизиты страхового полиса обязательного медицинского страхования;
11) реквизиты свидетельства государственной регистрации актов гражданского состояния;
12) семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
13) сведения о трудовой деятельности;
4) сведения о воинском учете и реквизиты документов воинского учета;
15) сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
16) сведения об ученой степени;
17) информация о владении иностранными языками, степень владения;
18) медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
19) фотография;
20) сведения о прохождении государственной гражданской службы (о работе), в том числе: основание и дата поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы (на работу), основание и дата назначения, перевода, перемещения на иную должность, наименование замещаемых должностей с указанием структурных подразделений, размера денежного содержания (денежного вознаграждения, заработной платы), результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;
21) информация, содержащаяся в служебном контракте, трудовом договоре, дополнительных соглашениях к ним;
22) сведения о пребывании за границей;
23) информация о классном чине государственной гражданской службы Республики Башкортостан (в том числе дипломатическом ранге, воинском или специальном звании, классном чине; правоохранительной службы, классном чине федеральной гражданской службы), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
24) информация о наличии или отсутствии судимости;
25) информация об оформленных допусках к государственной тайне;
26) государственные награды, иные награды и знаки отличия;
27) сведения о профессиональной переподготовке и (или) повышении квалификации;
28) информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания (заработной платы);
29) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
30) данные справки о доходах с предыдущего места работы;
31) банковские реквизиты;
32) сведения, содержащиеся в исполнительных листах, постановлениях судебных приставов, решениях суда.
33) сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством
34) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.2 Правил обработки персональных данных в Госкомитете РБ по информатизации.
V Получение персональных данных
5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных, а в случаях, предусмотренных федеральным законом, дает согласие на обработку своих персональных данных. Субъект персональных данных принимает решение и дает согласие свободно, своей волей и в своем интересе.
Типовая форма согласия субъекта на обработку персональных данных представлена в приложении № 1 к настоящим Правилам.
5.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
5.3. В случаях, предусмотренных законодательством Российской Федерации, персональные данные могут быть получены от лица, не являющегося субъектом персональных данных (третьего лица).
5.4 Если персональные данные получены не от субъекта персональных данных, должностные лица, ответственные за предоставление (осуществление) соответствующей функции, в случаях, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных обязаны уведомить субъекта персональных данных.
5.5. В случае отказа субъекта персональных данных предоставить свои персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», лицо, ответственное за предоставление (осуществление) функции, обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
VI Обработка персональных данных
6.1. Обработка персональных данных в Госкомитете РБ по информатизации осуществляется гражданскими служащими, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные.
Гражданские служащие, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные, подписывают соглашение о неразглашении персональных данных и обязательство гражданского служащего, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей согласно приложению № 2 к настоящим Правилам.
6.2. Перечень должностей гражданских служащих, которые осуществляют обработку персональных данных либо имеют доступ к персональным данным (далее – оператор), устанавливается приказом Госкомитета РБ по информатизации.
6.3. Все сотрудники, имеющие доступ к персональным данным субъектов, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), настоящими Правилами и иными правовыми актами Госкомитета РБ по информатизации по вопросам обработки персональных данных. Обязанность ознакомить сотрудников с законодательством и другими правовыми актами, регулирующими порядок работы с персональными данными, возлагается на отдел государственной службы и мобилизационной работы Госкомитета РБ по информатизации.
Форма листа ознакомлений приведена в приложении № 3 к настоящим Правилам.
6.4. Запрещается обработка персональных данных:
- лицами, не допущенными к их обработке;
- под диктовку.
VI Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
6.1. В случае достижения цели обработки персональных данных, оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
6.2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
6.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
6.4. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 5.1-5.3 настоящих Правил, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок, не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.5. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению, производится на основании акта уничтожения персональных данных согласно приложению № 4 к настоящим Правилам.
VII Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
7.1. Госкомитет РБ по информатизации устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
- издание локальных актов по вопросам обработки и защиты персональных данных;
- назначение ответственного за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Госкомитете РБ по информатизации;
- определение лиц, уполномоченных на обработку персональных данных Госкомитетом РБ по информатизации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима обработки персональных данных;
- ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Госкомитета РБ по информатизации в отношении обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;
- получение согласий на обработку персональных данных у субъектов персональных данных (их законных представителей) за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Госкомитета РБ по информатизации в отношении обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, локальным актам Госкомитета РБ по информатизации;
- опубликование на официальном сайте Госкомитета РБ по информатизации документов, определяющих политику Госкомитета РБ по информатизации в отношении обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, реализуемые требования к защите персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Приложение № 1
к Правилам обработки персональных данных, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
Типовая форма
согласия субъекта на обработку персональных данных
в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
г. Уфа
«____» _________20 _____ г.
Я,______________________________________________________________,
(Ф.И.О.)
_____________________ серия _____________ №____________ выдан
(вид документа, удостоверяющего личность)
_________________________________________________________________,
(когда и кем)
проживающий(ая) по адресу:_______________________________________________________
_________________________________________________________________,
настоящим даю свое согласие на обработку Государственным комитетом Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» моих персональных данных и подтверждаю, что, давая такое согласие, я действую своей волей и в своих интересах.
Согласие дается мною для целей ______________________________________________
_________________________________________________________________
(цель обработки персональных данных)
и распространяется на следующую информацию: ______________________________________
_________________________________________________________________
_________________________________________________________________.
(перечень персональных данных)
Настоящее согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы для достижения указанных выше целей, включая без ограничения сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий с моими персональными данными с учетом федерального законодательства.
В случае неправомерного использования предоставленных мною персональных данных согласие отзывается моим письменным заявлением.
Данное согласие действует с "___" _________ ______ г. бессрочно и может быть отозвано в любое время по моему письменному заявлению.
«___» ______________ 20___ г. ___________ (подпись)
Приложение № 2
к Правилам обработки персональных данных, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
Обязательство
о соблюдении конфиденциальности персональных данных
Я, ______________________________________________________
(Ф.И.О. полностью),
являясь сотрудником Государственного комитета Республики Башкортостан по информатизации вопросам функционирования системы «Открытая Республика» и непосредственно осуществляя обработку персональных данных, ознакомлен(а) с требованиями по соблюдению конфиденциальности обрабатываемых мною персональных данных субъектов персональных данных и обязуюсь в случае расторжения со мной служебного контракта прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей.
Я ознакомлен(а) с предусмотренной действующим законодательством Российской Федерации ответственностью за нарушения неприкосновенности частной жизни и установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
____________________________________________
(Ф.И.О. полностью, должность, дата)
Приложение № 3
к Правилам обработки персональных данных, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
Лист
ознакомлений с положениями законодательства Российской Федерации и иными нормативными правовыми актами по вопросам обработки персональных данных
в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
№ п/п
Ф.И.О.
Должность
Дата
Подпись
Акт
уничтожения персональных данных
№ ___________
«___» ____________ 20__ г.
Комиссия в составе:
председателя комиссии: __________________________________________
членов комиссии: ____________________________________________
уничтожила персональные данные:
№ п/п
Дата уничтожения
Ф.И.О.
Основание на уничтожение
1.
2.
3.
4.
5.
Председатель комиссии _________________________________________
Члены комиссии ______________________________________________
Приложение № 2
к приказу Государственного комитета
Республики Башкортостан
по информатизации и вопросам
функционирования системы «Открытая Республика»
от 27 декабря 2017 года № 163-ОД
Правила рассмотрения запросов субъектов персональных данных или их представителей в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
I Общие положения
1.1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют права субъектов персональных данных, обязанности Государственного комитета Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее - Госкомитет РБ по информатизации, Оператор) при обращении субъекта персональных данных или его представителя, а также сроки и последовательность действий должностных лиц Госкомитета РБ по информатизации при рассмотрении запросов субъектов персональных данных или их представителей (далее - Запрос).
1.2. Право на получение информации, касающейся обработки своих персональных данных в Госкомитете РБ по информатизации, имеют следующие субъекты персональных данных:
1) государственные гражданские служащие Республики Башкортостан, замещающие должность государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации (далее – гражданские служащие);
2) граждане, претендующие на замещение должностей государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации;
3) работники Госкомитета РБ по информатизации, замещающие должности, не являющиеся должностями государственной гражданской службы Республики Башкортостан;
4) граждане, претендующие на замещение должностей, не являющихся должностями государственной гражданской службы Республики Башкортостан;
5) лица, замещающие должности руководителей организаций, находящихся в ведении Госкомитета РБ по информатизации;
6) граждане, претендующие на замещение должностей руководителей и организаций, находящихся в ведении Госкомитета РБ по информатизации;
7) лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1-6 пункта 3.1 настоящих Правил;
8) лица, представляемые к награждению, наградные материалы по которым представлены в Госкомитете РБ по информатизации;
9) граждане, обратившиеся в Госкомитет РБ по информатизации в соответствии с Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
10) Представитель субъекта персональных данных лицо, действующее от имени субъекта персональных данных в силу полномочий, основанных на доверенности, указании закона, либо акте уполномоченного на то государственного органа или органа местного самоуправления. При обращении представителя субъекта персональных данных в Госкомитет РБ по информатизации предоставляется документ, подтверждающий полномочия законного представителя.
II Права субъектов персональных данных
2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Госкомитетом РБ по информатизации;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Госкомитетом РБ по информатизации способы обработки персональных данных;
- наименование и место нахождения Госкомитета РБ по информатизации, сведения о лицах (за исключением работников Госкомитета РБ по информатизации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Госкомитетом РБ по информатизации или на основании Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством в сфере защиты персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Госкомитета РБ по информатизации, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» или другими федеральными законами.
2.2. Сведения, указанные в п. 2.1 настоящих Правил, должны быть предоставлены субъекту персональных данных Госкомитетом РБ по информатизации в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.3. Сведения, указанные в п. 2.1 настоящих Правил, предоставляются субъекту персональных данных или его представителю Госкомитетом РБ по информатизации при обращении либо при получении запроса субъекта персональных данных или его представителя.
2.4. Запрос должен содержать:
1) номер документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2) сведения, подтверждающие участие субъекта персональных данных в отношениях с Госкомитетом РБ по информатизации (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Госкомитетом РБ по информатизации;
3) подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.5. В случае если сведения, указанные в п. 2.1 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Госкомитет РБ по информатизации или направить повторный запрос в целях получения сведений, указанных в п. 2.1 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.6. Субъект персональных данных вправе обратиться повторно в Госкомитет РБ по информатизации или направить повторный запрос в целях получения сведений, указанных в п. 2.1 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 2.4 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 2.3 настоящих Правил, должен содержать обоснование направления повторного запроса.
2.7. Госкомитет РБ по информатизации вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 2.4 и 2.5 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Госкомитете РБ по информатизации.
2.8. Субъект персональных данных вправе требовать от Госкомитета РБ по информатизации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
III Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя
3.1. Оператор обязан сообщить в порядке, предусмотренном настоящими Правилами, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
3.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, с указанием причин отказа со ссылкой на положение ч.8 ст.14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
3.3 Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
IV Порядок рассмотрения запросов субъектов персональных данных или их представителей
4.1. В день поступления запроса субъекта персональных данных или его представителя в Госкомитет РБ по информатизации указанный запрос необходимо зарегистрировать в соответствии с правилами документооборота, установленными Госкомитетом РБ по информатизации.
4.2. Ответственный за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Госкомитете РБ по информатизации осуществляет непосредственный контроль за соблюдением установленного законодательством Российской Федерации и настоящими Правилами порядка рассмотрения запросов субъектов персональных данных или их представителей. На контроль берутся все запросы.
4.3. Ответственный за организацию обработки защищаемой информации и (или) структурное подразделение, ответственное за исполнение указанного запроса, обеспечивает рассмотрение запроса и подготовку необходимой информации в установленный действующим законодательством срок.
4.4. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
4.5. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения сотрудником Госкомитета РБ по информатизации действия (бездействия), содержащего признаки административного правонарушения или состава преступления информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются председателю Госкомитета РБ по информатизации.
4.6. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.
4.7. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.
Приложение № 3
к приказу Государственного комитета Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» от 27 декабря 2017 года № 163-ОД
Правила осуществления внутреннего контроля соответствия обработки персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных»
I Общие положения
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» (далее - Правила), разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
II Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее - Госкомитет РБ по информатизации) проводятся периодические проверки условий обработки персональных данных.
2.2. Проверка соответствия обработки персональных данных требованиям к защите персональных данных проводится ответственным за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Госкомитете РБ по информатизации.
2.3. Плановые проверки условий обработки персональных данных проводятся на основании утвержденного председателем Госкомитета РБ по информатизации ежегодного плана внутренних проверок режима защиты персональных данных (плановые проверки), представленного в приложении к Положению по организации и проведению работ по обеспечению безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, при ее обработке в информационных системах Госкомитета РБ по информатизации.
2.4. Внеплановые проверки проводятся на основании поступившего в Госкомитет РБ по информатизации письменного обращения субъекта персональных данных или его представителя (далее - заявитель) о нарушениях правил обработки персональных данных. Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления обращения о нарушениях правил обработки персональных данных.
2.5. В проведении проверки условий обработки персональных данных не могут участвовать сотрудники Госкомитета РБ по информатизации, прямо или косвенно заинтересованные в ее результатах.
2.6. Проверки условий обработки персональных данных осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест сотрудников Госкомитета РБ по информатизации, участвующих в процессе обработки персональных данных.
2.7. При проведении проверки условий обработки персональных данных должны быть полностью, объективно всесторонне установлены:
- порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;
- порядок и условия соблюдения парольной защиты;
- порядок и условия соблюдения антивирусной защиты;
- порядок и условия обеспечения резервного копирования;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;
- условия соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена;
- порядок и условия обновления программного обеспечения и единообразия применяемого программного обеспечения на всех элементах информационной системы персональных данных;
- порядок и условия применения средств защиты информации;
- состояние учета носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.8. Проверка условий обработки персональных данных должна быть завершена не позднее чем через тридцать календарных дней со дня принятия решения о ее проведении.
2.9. По результатам проведенной проверки условий обработки персональных данных, ответственный за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, предоставляет председателю Госкомитета РБ по информатизации письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.
2.10. По существу поставленных в обращении (жалобе) вопросов, ответственный за организацию обработки защищаемой информации, в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.
Приложение № 4 к приказу
Государственного комитета
Республики Башкортостан
по информатизации и вопросам
функционирования системы
«Открытая Республика»
от 27 декабря 2017 года № 163-ОД
Правила работы с обезличенными данными в случае обезличивания персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
I Общие положения
1.1. Правила работы с обезличенными данными в случае обезличивания персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее - Правила) разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных» и определяют условия обезличивания персональных данных, методы обезличивания персональных данных и порядок работы с обезличенными данными.
II Условия обезличивания персональных данных
2.1. В соответствии с Федеральным законом «О персональных данных» обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
2.2. Обезличивание персональных данных может быть проведено в статистических целях, в целях предупреждения ущерба от разглашения персональных данных, по достижении целей или в случае утраты необходимости в достижении этих целей, а также в иных целях, предусмотренных законодательством Российской Федерации.
2.3. Обезличивание персональных данных должно обеспечивать следующие свойства информации:
- полноту (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- структурированность (сохранение структурных связей между обезличенными персональными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
- семантическую целостность (сохранение семантики (сути и смысла) персональных данных при их обезличивании);
- применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных без предварительного деобезличивания всего объема записей о субъектах);
- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
2.4. Методы обезличивания персональных данных должны обладать следующими характеристиками:
- обратимостью (возможностью преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
- вариативностью (возможностью внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
- изменяемостью (возможностью внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
- стойкостью (стойкостью метода к атакам на идентификацию субъекта персональных данных);
- возможностью косвенного деобезличивания (возможностью проведения деобезличивания с использованием информации других операторов);
- совместимостью (возможностью интеграции персональных данных, обезличенных различными методами);
- параметрическим объемом (возможностью определения объема дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
- возможностью оценки качества данных (возможностью проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
2.5. Методы обезличивания персональных данных должны обладать следующими свойствами:
- обратимостью (возможность проведения деобезличивания);
- возможностью обеспечения заданного уровня анонимности;
- увеличением стойкости при увеличении объема обезличиваемых персональных данных.
2.6. Получаемые обезличенные данные должны обладать следующими свойствами:
- сохранением полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
- сохранением структурированности обезличиваемых персональных данных;
- сохранением семантической целостности обезличиваемых персональных данных;
- анонимностью отдельных данных не ниже заданного уровня (количества возможных сопоставлений, обезличенных данных между собой для деобезличивания как, например, k- anonymity).
2.7. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
2.8. В Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее - Госкомитет РБ по информатизации) используются следующие методы обезличивания:
- метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
- метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
- метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
- метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
2.9. Описание методов обезличивания, обеспечиваемых ими свойств обезличенных данных, оценка свойств методов, требования к реализации методов приведены в приложении к настоящим Правилам.
2.10. Предложения о методах обезличивания вносит ответственный за обеспечение безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, в информационных системах Госкомитета РБ по информатизации. Решение о методах обезличивания персональных данных принимает председатель Госкомитета РБ по информатизации.
2.11. Ответственность за обезличивание персональных данных несут лица, замещающие должности государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации, вошедшие в Перечень должностей государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае обезличивания персональных данных, утвержденных приказом Госкомитета РБ по информатизации.
III Порядок работы с обезличенными данными
3.1. Обезличенные персональные данные конфиденциальны и не подлежат разглашению.
3.2. Обезличенные персональные данные могут обрабатываться как с использованием, так и без использования средств автоматизации.
3.3. При обработке обезличенных персональных данных сотрудники Госкомитета РБ по информатизации руководствуются настоящими Правилами.
Приложение к Правилам работы с обезличенными данными в случае обезличивания персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
Описание методов обезличивания
I Метод введения идентификаторов
1.1. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
1.2. Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- семантическая целостность;
- применимость.
1.3. Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
- изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
- стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
- параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
1.4. Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
II Метод изменения состава или семантики
2.1. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.
2.2. Метод обеспечивает следующие свойства обезличенных данных:
- структурированность;
- релевантность;
- применимость;
- анонимность.
2.3. Оценка свойств метода:
- обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);
- вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
- возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);
- параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);
- возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).
2.4. Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта. При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).
III Метод декомпозиции
3.1. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.
3.2. Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- релевантность;
- семантическая целостность;
- применимость.
3.3. Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);
- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);
- параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
3.4. Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
IV Метод перемешивания
4.1. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.
4.2. Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- релевантность;
- семантическая целостность;
- применимость;
- анонимность.
4.3. Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);
- возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);
- параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
4.4. Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.
4.5. Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.
Приложение № 5 к приказу
Государственного комитета
Республики Башкортостан
по информатизации и вопросам
функционирования системы
«Открытая Республика»
от 27 декабря 2017 года №163-ОД
Перечень сведений конфиденциального характера
№ п/п
Наименование сведений
Примечание
1.
Техническая документация на средства защиты информации
Конфиденциально
2.
Служебные сведения, доступ к которым ограничен республиканскими органами исполнительной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами в сфере защиты информации
Конфиденциально
3.
Документы по аттестации объектов информатизации
Конфиденциально
4.
Сведения об организации защиты информаций, применяемых аппаратных и программных средствах защиты информации, действующих паролях
Конфиденциально
5.
Сведения о ключевой информации, порядке её генерации, учета, хранения, рассылки и обновлении
Конфиденциально
6.
Персональные данные государственных гражданских служащих в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» и других физических лиц, предоставивших сведения о себе с условием их защиты
Персональные данные
7.
Иные персональные данные, обрабатываемые в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы
«Открытая Республика»
Персональные данные
ГОСУДАРСТВЕННЫЙ КОМИТЕТ РЕСПУБЛИКИ БАШКОРТОСТАН ПО ИНФОРМАТИЗАЦИИ И ВОПРОСАМ ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ «ОТКРЫТАЯ РЕСПУБЛИКА»
ПРИКАЗ
от 27.12.2017 № 163-ОД
О ВВЕДЕНИИ В ДЕЙСТВИЕ ДОКУМЕНТОВ, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ, ПРЕДУСМОТРЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ
Зарегистрирован в Государственном комитете Республики Башкортостан по делам юстиции 08.06.2018 № 11321
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» ПРИКАЗЫВАЮ:
1. Утвердить:
Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» согласно приложению № 1 к настоящему приказу;
Правила рассмотрения запросов субъектов персональных данных или их представителей в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» согласно приложению № 2 к настоящему приказу;
Правила осуществления внутреннего контроля соответствия обработки персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» согласно приложению № 3 к настоящему приказу;
Правила работы с обезличенными данными в случае обезличивания персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» согласно приложению № 4 к настоящему приказу;
Перечень сведений конфиденциального характера в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» согласно приложению № 5 к настоящему приказу.
2. Контроль за исполнением настоящего приказа оставляю за собой.
Председатель Р.Р. Таипов
Приложение № 1 к приказу
Государственного комитета
Республики Башкортостан
по информатизации и вопросам
функционирования системы
«Открытая Республика»
от 27 декабря 2017 года № 163-ОД
Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
I Общие положения
1. Настоящие Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее – Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
2. Настоящие Правила определяют цели обработки персональных данных, категории субъектов, персональные данные которых обрабатываются в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее –Госкомитет РБ по информатизации), содержание обрабатываемых персональных данных, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
II Цели обработки персональных данных
2.1. Обработка персональных данных осуществляется Госкомитетом РБ по информатизации в следующих целях:
- выполнение требований трудового законодательства Российской Федерации и законодательства о государственной гражданской службе Российской Федерации в части ведения бухгалтерского учета, исполнение условий договоров гражданско-правового характера;
- выполнение требований трудового законодательства Российской Федерации и законодательства о государственной гражданской службе Российской Федерации и Республики Башкортостан в части ведения кадрового учета, заключение служебных контрактов, трудовых и иных договоров, ведение личных дел (карточек), ведение воинского учета;
- рассмотрение обращений граждан.
III Категории субъектов, персональные данные которых обрабатываются,
сроки их обработки и хранения
3.1. К субъектам персональных данных, персональные данные которых обрабатываются в Госкомитете РБ по информатизации в соответствии с настоящими Правилами, относятся:
государственные гражданские служащие Республики Башкортостан, замещающие должность государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации (далее – гражданские служащие);
1) граждане, претендующие на замещение должностей государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации;
2) работники Госкомитета РБ по информатизации, замещающие должности, не являющиеся должностями государственной гражданской службы Республики Башкортостан;
3) граждане, претендующие на замещение должностей, не являющихся должностями государственной гражданской службы Республики Башкортостан;
4) лица, замещающие должности руководителей организаций, находящихся в ведении Госкомитета РБ по информатизации;
5) граждане, претендующие на замещение должностей руководителей и организаций, находящихся в ведении Госкомитета РБ по информатизации;
6) лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1-6 пункта3.1 настоящих Правил;
7) лица, представляемые к награждению, наградные материалы по которым представлены в Госкомитете РБ по информатизации;
8) граждане, обратившиеся в Госкомитет РБ по информатизации в соответствии с Федеральным законом от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».
3.2. Персональные данные обрабатываются в сроки, обусловленные заявленными целями их обработки.
3.3. Обработка персональных данных осуществляется с момента их получения Госкомитетом РБ по информатизации и прекращается:
- по достижении целей обработки персональных данных;
- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.
3.4. Сроки хранения персональных данных, содержащиеся на материальных носителях информации, устанавливаются в соответствии с номенклатурой дел Госкомитета РБ по информатизации.
IV Содержание обрабатываемых персональных данных
4.1. В соответствии с целями обработки персональных данных, указанными в п. 2.1 настоящих Правил, Госкомитетом РБ по информатизации осуществляется обработка следующих персональных данных:
1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
6) адрес места жительства (адрес регистрации, фактического проживания):
7) номер контактного телефона или сведения о других способах связи;
8) реквизиты страхового свидетельства государственного пенсионного страхования;
9) идентификационный номер налогоплательщика;
10) реквизиты страхового полиса обязательного медицинского страхования;
11) реквизиты свидетельства государственной регистрации актов гражданского состояния;
12) семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
13) сведения о трудовой деятельности;
4) сведения о воинском учете и реквизиты документов воинского учета;
15) сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
16) сведения об ученой степени;
17) информация о владении иностранными языками, степень владения;
18) медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
19) фотография;
20) сведения о прохождении государственной гражданской службы (о работе), в том числе: основание и дата поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы (на работу), основание и дата назначения, перевода, перемещения на иную должность, наименование замещаемых должностей с указанием структурных подразделений, размера денежного содержания (денежного вознаграждения, заработной платы), результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;
21) информация, содержащаяся в служебном контракте, трудовом договоре, дополнительных соглашениях к ним;
22) сведения о пребывании за границей;
23) информация о классном чине государственной гражданской службы Республики Башкортостан (в том числе дипломатическом ранге, воинском или специальном звании, классном чине; правоохранительной службы, классном чине федеральной гражданской службы), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
24) информация о наличии или отсутствии судимости;
25) информация об оформленных допусках к государственной тайне;
26) государственные награды, иные награды и знаки отличия;
27) сведения о профессиональной переподготовке и (или) повышении квалификации;
28) информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания (заработной платы);
29) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
30) данные справки о доходах с предыдущего места работы;
31) банковские реквизиты;
32) сведения, содержащиеся в исполнительных листах, постановлениях судебных приставов, решениях суда.
33) сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством
34) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.2 Правил обработки персональных данных в Госкомитете РБ по информатизации.
V Получение персональных данных
5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных, а в случаях, предусмотренных федеральным законом, дает согласие на обработку своих персональных данных. Субъект персональных данных принимает решение и дает согласие свободно, своей волей и в своем интересе.
Типовая форма согласия субъекта на обработку персональных данных представлена в приложении № 1 к настоящим Правилам.
5.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
5.3. В случаях, предусмотренных законодательством Российской Федерации, персональные данные могут быть получены от лица, не являющегося субъектом персональных данных (третьего лица).
5.4 Если персональные данные получены не от субъекта персональных данных, должностные лица, ответственные за предоставление (осуществление) соответствующей функции, в случаях, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных обязаны уведомить субъекта персональных данных.
5.5. В случае отказа субъекта персональных данных предоставить свои персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», лицо, ответственное за предоставление (осуществление) функции, обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
VI Обработка персональных данных
6.1. Обработка персональных данных в Госкомитете РБ по информатизации осуществляется гражданскими служащими, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные.
Гражданские служащие, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные, подписывают соглашение о неразглашении персональных данных и обязательство гражданского служащего, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей согласно приложению № 2 к настоящим Правилам.
6.2. Перечень должностей гражданских служащих, которые осуществляют обработку персональных данных либо имеют доступ к персональным данным (далее – оператор), устанавливается приказом Госкомитета РБ по информатизации.
6.3. Все сотрудники, имеющие доступ к персональным данным субъектов, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), настоящими Правилами и иными правовыми актами Госкомитета РБ по информатизации по вопросам обработки персональных данных. Обязанность ознакомить сотрудников с законодательством и другими правовыми актами, регулирующими порядок работы с персональными данными, возлагается на отдел государственной службы и мобилизационной работы Госкомитета РБ по информатизации.
Форма листа ознакомлений приведена в приложении № 3 к настоящим Правилам.
6.4. Запрещается обработка персональных данных:
- лицами, не допущенными к их обработке;
- под диктовку.
VI Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
6.1. В случае достижения цели обработки персональных данных, оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
6.2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
6.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
6.4. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 5.1-5.3 настоящих Правил, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок, не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.5. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению, производится на основании акта уничтожения персональных данных согласно приложению № 4 к настоящим Правилам.
VII Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
7.1. Госкомитет РБ по информатизации устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
- издание локальных актов по вопросам обработки и защиты персональных данных;
- назначение ответственного за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Госкомитете РБ по информатизации;
- определение лиц, уполномоченных на обработку персональных данных Госкомитетом РБ по информатизации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима обработки персональных данных;
- ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Госкомитета РБ по информатизации в отношении обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;
- получение согласий на обработку персональных данных у субъектов персональных данных (их законных представителей) за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Госкомитета РБ по информатизации в отношении обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, локальным актам Госкомитета РБ по информатизации;
- опубликование на официальном сайте Госкомитета РБ по информатизации документов, определяющих политику Госкомитета РБ по информатизации в отношении обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, реализуемые требования к защите персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Приложение № 1
к Правилам обработки персональных данных, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
Типовая форма
согласия субъекта на обработку персональных данных
в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
г. Уфа
«____» _________20 _____ г.
Я,______________________________________________________________,
(Ф.И.О.)
_____________________ серия _____________ №____________ выдан
(вид документа, удостоверяющего личность)
_________________________________________________________________,
(когда и кем)
проживающий(ая) по адресу:_______________________________________________________
_________________________________________________________________,
настоящим даю свое согласие на обработку Государственным комитетом Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» моих персональных данных и подтверждаю, что, давая такое согласие, я действую своей волей и в своих интересах.
Согласие дается мною для целей ______________________________________________
_________________________________________________________________
(цель обработки персональных данных)
и распространяется на следующую информацию: ______________________________________
_________________________________________________________________
_________________________________________________________________.
(перечень персональных данных)
Настоящее согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы для достижения указанных выше целей, включая без ограничения сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий с моими персональными данными с учетом федерального законодательства.
В случае неправомерного использования предоставленных мною персональных данных согласие отзывается моим письменным заявлением.
Данное согласие действует с "___" _________ ______ г. бессрочно и может быть отозвано в любое время по моему письменному заявлению.
«___» ______________ 20___ г. ___________ (подпись)
Приложение № 2
к Правилам обработки персональных данных, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
Обязательство
о соблюдении конфиденциальности персональных данных
Я, ______________________________________________________
(Ф.И.О. полностью),
являясь сотрудником Государственного комитета Республики Башкортостан по информатизации вопросам функционирования системы «Открытая Республика» и непосредственно осуществляя обработку персональных данных, ознакомлен(а) с требованиями по соблюдению конфиденциальности обрабатываемых мною персональных данных субъектов персональных данных и обязуюсь в случае расторжения со мной служебного контракта прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей.
Я ознакомлен(а) с предусмотренной действующим законодательством Российской Федерации ответственностью за нарушения неприкосновенности частной жизни и установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
____________________________________________
(Ф.И.О. полностью, должность, дата)
Приложение № 3
к Правилам обработки персональных данных, устанавливающих процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
Лист
ознакомлений с положениями законодательства Российской Федерации и иными нормативными правовыми актами по вопросам обработки персональных данных
в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
№ п/п
Ф.И.О.
Должность
Дата
Подпись
Акт
уничтожения персональных данных
№ ___________
«___» ____________ 20__ г.
Комиссия в составе:
председателя комиссии: __________________________________________
членов комиссии: ____________________________________________
уничтожила персональные данные:
№ п/п
Дата уничтожения
Ф.И.О.
Основание на уничтожение
1.
2.
3.
4.
5.
Председатель комиссии _________________________________________
Члены комиссии ______________________________________________
Приложение № 2
к приказу Государственного комитета
Республики Башкортостан
по информатизации и вопросам
функционирования системы «Открытая Республика»
от 27 декабря 2017 года № 163-ОД
Правила рассмотрения запросов субъектов персональных данных или их представителей в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
I Общие положения
1.1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют права субъектов персональных данных, обязанности Государственного комитета Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее - Госкомитет РБ по информатизации, Оператор) при обращении субъекта персональных данных или его представителя, а также сроки и последовательность действий должностных лиц Госкомитета РБ по информатизации при рассмотрении запросов субъектов персональных данных или их представителей (далее - Запрос).
1.2. Право на получение информации, касающейся обработки своих персональных данных в Госкомитете РБ по информатизации, имеют следующие субъекты персональных данных:
1) государственные гражданские служащие Республики Башкортостан, замещающие должность государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации (далее – гражданские служащие);
2) граждане, претендующие на замещение должностей государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации;
3) работники Госкомитета РБ по информатизации, замещающие должности, не являющиеся должностями государственной гражданской службы Республики Башкортостан;
4) граждане, претендующие на замещение должностей, не являющихся должностями государственной гражданской службы Республики Башкортостан;
5) лица, замещающие должности руководителей организаций, находящихся в ведении Госкомитета РБ по информатизации;
6) граждане, претендующие на замещение должностей руководителей и организаций, находящихся в ведении Госкомитета РБ по информатизации;
7) лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1-6 пункта 3.1 настоящих Правил;
8) лица, представляемые к награждению, наградные материалы по которым представлены в Госкомитете РБ по информатизации;
9) граждане, обратившиеся в Госкомитет РБ по информатизации в соответствии с Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
10) Представитель субъекта персональных данных лицо, действующее от имени субъекта персональных данных в силу полномочий, основанных на доверенности, указании закона, либо акте уполномоченного на то государственного органа или органа местного самоуправления. При обращении представителя субъекта персональных данных в Госкомитет РБ по информатизации предоставляется документ, подтверждающий полномочия законного представителя.
II Права субъектов персональных данных
2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Госкомитетом РБ по информатизации;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Госкомитетом РБ по информатизации способы обработки персональных данных;
- наименование и место нахождения Госкомитета РБ по информатизации, сведения о лицах (за исключением работников Госкомитета РБ по информатизации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Госкомитетом РБ по информатизации или на основании Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством в сфере защиты персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Госкомитета РБ по информатизации, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» или другими федеральными законами.
2.2. Сведения, указанные в п. 2.1 настоящих Правил, должны быть предоставлены субъекту персональных данных Госкомитетом РБ по информатизации в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.3. Сведения, указанные в п. 2.1 настоящих Правил, предоставляются субъекту персональных данных или его представителю Госкомитетом РБ по информатизации при обращении либо при получении запроса субъекта персональных данных или его представителя.
2.4. Запрос должен содержать:
1) номер документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2) сведения, подтверждающие участие субъекта персональных данных в отношениях с Госкомитетом РБ по информатизации (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Госкомитетом РБ по информатизации;
3) подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.5. В случае если сведения, указанные в п. 2.1 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Госкомитет РБ по информатизации или направить повторный запрос в целях получения сведений, указанных в п. 2.1 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.6. Субъект персональных данных вправе обратиться повторно в Госкомитет РБ по информатизации или направить повторный запрос в целях получения сведений, указанных в п. 2.1 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 2.4 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 2.3 настоящих Правил, должен содержать обоснование направления повторного запроса.
2.7. Госкомитет РБ по информатизации вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 2.4 и 2.5 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Госкомитете РБ по информатизации.
2.8. Субъект персональных данных вправе требовать от Госкомитета РБ по информатизации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
III Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя
3.1. Оператор обязан сообщить в порядке, предусмотренном настоящими Правилами, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
3.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, с указанием причин отказа со ссылкой на положение ч.8 ст.14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
3.3 Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
IV Порядок рассмотрения запросов субъектов персональных данных или их представителей
4.1. В день поступления запроса субъекта персональных данных или его представителя в Госкомитет РБ по информатизации указанный запрос необходимо зарегистрировать в соответствии с правилами документооборота, установленными Госкомитетом РБ по информатизации.
4.2. Ответственный за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Госкомитете РБ по информатизации осуществляет непосредственный контроль за соблюдением установленного законодательством Российской Федерации и настоящими Правилами порядка рассмотрения запросов субъектов персональных данных или их представителей. На контроль берутся все запросы.
4.3. Ответственный за организацию обработки защищаемой информации и (или) структурное подразделение, ответственное за исполнение указанного запроса, обеспечивает рассмотрение запроса и подготовку необходимой информации в установленный действующим законодательством срок.
4.4. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
4.5. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения сотрудником Госкомитета РБ по информатизации действия (бездействия), содержащего признаки административного правонарушения или состава преступления информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются председателю Госкомитета РБ по информатизации.
4.6. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.
4.7. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.
Приложение № 3
к приказу Государственного комитета Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» от 27 декабря 2017 года № 163-ОД
Правила осуществления внутреннего контроля соответствия обработки персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных»
I Общие положения
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» (далее - Правила), разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
II Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее - Госкомитет РБ по информатизации) проводятся периодические проверки условий обработки персональных данных.
2.2. Проверка соответствия обработки персональных данных требованиям к защите персональных данных проводится ответственным за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Госкомитете РБ по информатизации.
2.3. Плановые проверки условий обработки персональных данных проводятся на основании утвержденного председателем Госкомитета РБ по информатизации ежегодного плана внутренних проверок режима защиты персональных данных (плановые проверки), представленного в приложении к Положению по организации и проведению работ по обеспечению безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, при ее обработке в информационных системах Госкомитета РБ по информатизации.
2.4. Внеплановые проверки проводятся на основании поступившего в Госкомитет РБ по информатизации письменного обращения субъекта персональных данных или его представителя (далее - заявитель) о нарушениях правил обработки персональных данных. Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления обращения о нарушениях правил обработки персональных данных.
2.5. В проведении проверки условий обработки персональных данных не могут участвовать сотрудники Госкомитета РБ по информатизации, прямо или косвенно заинтересованные в ее результатах.
2.6. Проверки условий обработки персональных данных осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест сотрудников Госкомитета РБ по информатизации, участвующих в процессе обработки персональных данных.
2.7. При проведении проверки условий обработки персональных данных должны быть полностью, объективно всесторонне установлены:
- порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;
- порядок и условия соблюдения парольной защиты;
- порядок и условия соблюдения антивирусной защиты;
- порядок и условия обеспечения резервного копирования;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;
- условия соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена;
- порядок и условия обновления программного обеспечения и единообразия применяемого программного обеспечения на всех элементах информационной системы персональных данных;
- порядок и условия применения средств защиты информации;
- состояние учета носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.8. Проверка условий обработки персональных данных должна быть завершена не позднее чем через тридцать календарных дней со дня принятия решения о ее проведении.
2.9. По результатам проведенной проверки условий обработки персональных данных, ответственный за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, предоставляет председателю Госкомитета РБ по информатизации письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.
2.10. По существу поставленных в обращении (жалобе) вопросов, ответственный за организацию обработки защищаемой информации, в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.
Приложение № 4 к приказу
Государственного комитета
Республики Башкортостан
по информатизации и вопросам
функционирования системы
«Открытая Республика»
от 27 декабря 2017 года № 163-ОД
Правила работы с обезличенными данными в случае обезличивания персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
I Общие положения
1.1. Правила работы с обезличенными данными в случае обезличивания персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее - Правила) разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных» и определяют условия обезличивания персональных данных, методы обезличивания персональных данных и порядок работы с обезличенными данными.
II Условия обезличивания персональных данных
2.1. В соответствии с Федеральным законом «О персональных данных» обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
2.2. Обезличивание персональных данных может быть проведено в статистических целях, в целях предупреждения ущерба от разглашения персональных данных, по достижении целей или в случае утраты необходимости в достижении этих целей, а также в иных целях, предусмотренных законодательством Российской Федерации.
2.3. Обезличивание персональных данных должно обеспечивать следующие свойства информации:
- полноту (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- структурированность (сохранение структурных связей между обезличенными персональными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
- семантическую целостность (сохранение семантики (сути и смысла) персональных данных при их обезличивании);
- применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных без предварительного деобезличивания всего объема записей о субъектах);
- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
2.4. Методы обезличивания персональных данных должны обладать следующими характеристиками:
- обратимостью (возможностью преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
- вариативностью (возможностью внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
- изменяемостью (возможностью внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
- стойкостью (стойкостью метода к атакам на идентификацию субъекта персональных данных);
- возможностью косвенного деобезличивания (возможностью проведения деобезличивания с использованием информации других операторов);
- совместимостью (возможностью интеграции персональных данных, обезличенных различными методами);
- параметрическим объемом (возможностью определения объема дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
- возможностью оценки качества данных (возможностью проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
2.5. Методы обезличивания персональных данных должны обладать следующими свойствами:
- обратимостью (возможность проведения деобезличивания);
- возможностью обеспечения заданного уровня анонимности;
- увеличением стойкости при увеличении объема обезличиваемых персональных данных.
2.6. Получаемые обезличенные данные должны обладать следующими свойствами:
- сохранением полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
- сохранением структурированности обезличиваемых персональных данных;
- сохранением семантической целостности обезличиваемых персональных данных;
- анонимностью отдельных данных не ниже заданного уровня (количества возможных сопоставлений, обезличенных данных между собой для деобезличивания как, например, k- anonymity).
2.7. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
2.8. В Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» (далее - Госкомитет РБ по информатизации) используются следующие методы обезличивания:
- метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
- метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
- метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
- метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
2.9. Описание методов обезличивания, обеспечиваемых ими свойств обезличенных данных, оценка свойств методов, требования к реализации методов приведены в приложении к настоящим Правилам.
2.10. Предложения о методах обезличивания вносит ответственный за обеспечение безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, в информационных системах Госкомитета РБ по информатизации. Решение о методах обезличивания персональных данных принимает председатель Госкомитета РБ по информатизации.
2.11. Ответственность за обезличивание персональных данных несут лица, замещающие должности государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации, вошедшие в Перечень должностей государственной гражданской службы Республики Башкортостан в Госкомитете РБ по информатизации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае обезличивания персональных данных, утвержденных приказом Госкомитета РБ по информатизации.
III Порядок работы с обезличенными данными
3.1. Обезличенные персональные данные конфиденциальны и не подлежат разглашению.
3.2. Обезличенные персональные данные могут обрабатываться как с использованием, так и без использования средств автоматизации.
3.3. При обработке обезличенных персональных данных сотрудники Госкомитета РБ по информатизации руководствуются настоящими Правилами.
Приложение к Правилам работы с обезличенными данными в случае обезличивания персональных данных в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика»
Описание методов обезличивания
I Метод введения идентификаторов
1.1. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
1.2. Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- семантическая целостность;
- применимость.
1.3. Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
- изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
- стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
- параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
1.4. Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
II Метод изменения состава или семантики
2.1. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.
2.2. Метод обеспечивает следующие свойства обезличенных данных:
- структурированность;
- релевантность;
- применимость;
- анонимность.
2.3. Оценка свойств метода:
- обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);
- вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
- возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);
- параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);
- возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).
2.4. Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта. При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).
III Метод декомпозиции
3.1. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.
3.2. Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- релевантность;
- семантическая целостность;
- применимость.
3.3. Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);
- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);
- параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
3.4. Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
IV Метод перемешивания
4.1. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.
4.2. Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- релевантность;
- семантическая целостность;
- применимость;
- анонимность.
4.3. Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);
- возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);
- параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
4.4. Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.
4.5. Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.
Приложение № 5 к приказу
Государственного комитета
Республики Башкортостан
по информатизации и вопросам
функционирования системы
«Открытая Республика»
от 27 декабря 2017 года №163-ОД
Перечень сведений конфиденциального характера
№ п/п
Наименование сведений
Примечание
1.
Техническая документация на средства защиты информации
Конфиденциально
2.
Служебные сведения, доступ к которым ограничен республиканскими органами исполнительной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами в сфере защиты информации
Конфиденциально
3.
Документы по аттестации объектов информатизации
Конфиденциально
4.
Сведения об организации защиты информаций, применяемых аппаратных и программных средствах защиты информации, действующих паролях
Конфиденциально
5.
Сведения о ключевой информации, порядке её генерации, учета, хранения, рассылки и обновлении
Конфиденциально
6.
Персональные данные государственных гражданских служащих в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы «Открытая Республика» и других физических лиц, предоставивших сведения о себе с условием их защиты
Персональные данные
7.
Иные персональные данные, обрабатываемые в Государственном комитете Республики Башкортостан по информатизации и вопросам функционирования системы
«Открытая Республика»
Персональные данные
Дополнительные сведения
Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 14.11.2018 |
Рубрики правового классификатора: | 020.020.020 Государственная служба субъектов Российской Федерации |
Вопрос юристу
Поделитесь ссылкой на эту страницу: