О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ПРИКАЗ МИНИСТЕРСТВА ФИНАНСОВ РЕСПУБЛИКИ МАРИЙ ЭЛ ОТ 14 июня 2013 Г. № 11-Н



Утратил силу - приказ Министерства финансов Республики Марий Эл от 12.04.2019 № 11-н

МИНИСТЕРСТВО ФИНАНСОВ РЕСПУБЛИКИ МАРИЙ ЭЛ

ПРИКАЗ

от 30 сентября 2014 года № 25-н

О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ПРИКАЗ МИНИСТЕРСТВА ФИНАНСОВ РЕСПУБЛИКИ МАРИЙ ЭЛ ОТ 14 июня 2013 Г. № 11-Н

В целях приведения в соответствие с Федеральным законом от 27 июля 2004 г. № 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации», Федеральным законом от 5 апреля 201 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» приказываю:

Внести в приказ Министерства финансов Республики Марий Эл от 14 июня 2013 года № 11-н «О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» следующие изменения:

1. Положение о защите персональных данных в Министерстве финансов Республики Марий Эл, изложить в новой редакции (прилагается);

2. Правила рассмотрения запросов субъектов персональных данных или их представителей в Министерстве финансов Республики Марий Эл, изложить в новой редакции (прилагается);

3. В Правилах осуществления внутреннего контроля соответствия обработки персональных данных в Министерстве финансов Республики Марий Эл требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», утвержденных указанным выше приказом:

пункт 1.1. изложить в следующей редакции:

«1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных в Министерстве финансов Республики Марий Эл требованиям к защите персональных данных, установленных Федеральным законом «О персональных данных» разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.»;

в пункте 2.1. слово «поверки» заменить словом «проверки»;

в пункте 2.2. слова «проводятся комиссией» заменить словами «проводятся комиссией по проведению проверки условий обработки персональных данных»;

в абзаце седьмом пункта 2.7 слова «О персональных данных» заменить словами «в области персональных данных».

Министр Г.Р. Габдул-Бариева

УТВЕРЖДЕНО

приказом Министерства финансов Республики Марий Эл от 14 июня 2013 г. № 11-н (в редакции приказа Министерства финансов Республики Марий Эл от 30 сентября 2014 г. № 25 -н)

ПОЛОЖЕНИЕ

о защите персональных данных в Министерстве финансов Республики Марий Эл

I. Общие положения

1.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Постановлением Правительства Российской Федерации от 15 сентября 2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативными актами ФСТЭК России в сфере обработки персональных данных.

1.2. Настоящее Положение определяет порядок обработки персональных данных в Министерстве финансов Республики Марий Эл (далее - Министерство) в целях обеспечения соблюдения Конституции Российской Федерации, Федерального закона от 27 июля 2004 г. № 79-ФЗ "О государственной гражданской службе Российской Федерации", законодательства Российской Федерации в области персональных данных, других федеральных законов и иных нормативных правовых актов Российской Федерации, содействия государственным гражданским служащим Республики Марий Эл в Министерстве (далее - государственные гражданские служащие) в прохождении государственной гражданской службы, обеспечения личной безопасности указанных лиц и членов их семей, а так же в целях обеспечения сохранности принадлежащего им имущества, установления ответственности государственных гражданских служащих непосредственно осуществляющих обработку персональных данных и (или) имеющих доступ к персональным данным, за невыполнение требований законодательства Российской Федерации в области персональных данных.

1.3. В настоящем Положении используются следующие понятия, термины и сокращения:

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.4. Настоящее Положение и изменения к нему утверждаются приказом Министерства.

1.5. Настоящее Положение является обязательным для исполнения всеми государственными гражданскими служащими, непосредственно осуществляющими обработку персональных данных и (или) имеющими доступ к персональным данным, и должны быть ознакомлены с настоящим Положением и изменениями к нему под роспись.

II. Состав персональных данных

2.1. В Министерстве обрабатываются персональные данные следующих групп субъектов персональных данных:

- министра, государственных гражданских служащих и работников Министерства;

- граждан, осуществляющих деятельность по гражданско-правовому договору;

- граждан, включенных в кадровый резерв, резерв управленческих кадров, перспективный кадровый резерв (резерв развития) Министерства, граждан, претендующих на включение в кадровый резерв, резерв управленческих кадров, перспективный кадровый резерв (резерв развития) Министерства, граждан, не допущенных к участию в конкурсах, граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор;

- граждан, претендующих на награждение и поощрение Министерством;

- независимых экспертов, принимающих участие в заседаниях конкурсных и аттестационных комиссий;

- студентов, проходящих практику;

- граждан, персональные данные которых необходимы для рассмотрения обращений граждан, объединений граждан;

- граждан, персональные данные которых необходимы в целях предоставления государственных услуг и исполнения государственных функций.

2.2. К персональным данным министра, государственных гражданских служащих и работников Министерства относятся следующие сведения:

- ФИО;

- дата, место рождения;

- пол;

- гражданство;

- адрес регистрации по месту жительства, адрес фактического проживания;

- контактные телефоны;

- паспортные данные;

- ИНН;

- СНИЛС;

- характер, вид работы;

- табельный номер;

- документ об образовании и о квалификации;

- уровень владения иностранными языками;

- ученая степень;

- стаж работы;

- состояние в браке;

- сведения о составе семьи;

- сведения о воинском учете;

- сведения о приеме на работу и переводах на другие должности;

- сведения о присвоении квалификационного разряда, классного чина, дипломатического ранга, воинского звания;

- результаты аттестации;

- информация государственных и ведомственных наградах, почетных званиях;

- данные об отпусках;

- сведения о социальных льготах, на которые сотрудник имеет право в соответствии с законодательством;

- сведения об увольнении;

- сведения о доходах, имуществе, обязательствах имущественного характера;

- сведения о расходах;

- сведения о наличии/ отсутствии заболевания, препятствующего поступлению на государственную гражданскую службу;

- фотография;

- дополнительные сведения.

2.3. К документам (в бумажном и (или) электронном виде), содержащим персональные данные министра, государственных гражданских служащих и работников Министерства, относятся:

- табель учета использования рабочего времени;

- платежная ведомость;

-договор о полной материальной ответственности с сотрудниками;

- карточка-справка;

- записка-расчет об исчислении среднего заработка при предоставлении отпуска, увольнения и других случаев;

- справка о среднем заработке;

- реестр на выпуск банковских карт;

- реестр открытых счетов банковских карт;

- расходно-кассовый ордер;

- список на зачисление денежных средств на счета банковских карт;

- справка о доходах физического лица (форма 2-НДФЛ);

- листок нетрудоспособности;

- сведения о начисленных и уплаченных страховых взносах на обязательное пенсионное страхование и страховом стаже застрахованного лица;

- реестр сведений о начисленных и уплаченных страховых взносах на обязательное пенсионное страхование застрахованных лиц;

- сведения о сумме выплат и иных вознаграждений, начисляемых плательщиками страховых взносов – страхователями в пользу физического лица;

- приказы по личному составу;

- приказы по основной деятельности;

- приказы о командировках, отпусках, материальной помощи;

- личные карточки (форма Т-2);

- личные карточки (форма Т-2ГС);

- заявления о предоставлении отпусков, служебные записки;

- документы о воинском учете и бронировании лиц, подлежащих воинскому учету (приказы, распоряжения, планы работы, отчеты, ведомости);

- личные дела;

- трудовые книжки;

- справка с места работы;

- протоколы заседаний комиссии по установлению трудового стажа и документы к ним;

- документы о проведении аттестации, сдаче квалификационного экзамена (отзывы, характеристики, аттестационные листы, экзаменационные листы, протоколы);

- служебные записки по нарушениям дисциплины;

- документы комиссии по соблюдению требований к служебному поведению государственных гражданских служащих и урегулированию конфликта интересов;

- реестр государственных гражданских служащих;

- книга учета движения трудовых книжек и вкладышей к ним;

- документы о назначении пенсии;

- справка о расходах;

- документы по расследованию несчастных случаев (акты, материалы расследования).

2.4. К общедоступным персональным данным министра и государственных гражданских служащих относятся следующие сведения:

- фамилия, имя, отчество;

- структурное подразделение;

- должность;

- контактный телефон;

- сведения о доходах, расходах, имуществе и обязательствах имущественного характера министра, государственных гражданских служащих, их супругов и несовершеннолетних детей;

- фотография.

2.5. К персональным данным граждан, осуществляющих деятельность по гражданско-правовому договору, относятся следующие сведения:

- ФИО;

- адрес;

- паспортные данные;

- ИНН;

- СНИЛС;

- контактный телефон;

- сведения о выплатах.

2.6. К документам (в бумажном и (или) электронном виде), содержащим персональные данные граждан, осуществляющих деятельность по гражданско-правовому договору, относятся:

- гражданско-правовой договор.

2.7. К персональным данным граждан, включенных в кадровый резерв, резерв управленческих кадров, перспективный кадровый резерв (резерв развития) Министерства, граждан, претендующих на включение в кадровый резерв, резерв управленческих кадров, перспективный кадровый резерв (резерв развития) Министерства, граждан, не допущенных к участию в конкурсах, граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор, относятся следующие сведения:

- ФИО;

- дата, место рождения;

- пол;

- ИНН;

- СНИЛС;

- гражданство;

- сведения о браке;

- сведения о составе семьи;

- паспортные данные;

- адрес регистрации, проживания;

- контактные телефоны;

- сведения о воинском учете;

- сведения о владении иностранными языками;

- документ об образовании и о квалификации;

- сведения об ученой степени;

- сведения о классном чине;

- результаты аттестации;

- сведения о наградах (поощрениях), почетных званиях;

- данные об отпусках;

- сведения о социальных льготах, на которые сотрудник имеет право - в соответствии с законодательством;

- сведения об увольнении;

-сведения о доходах, имуществе, обязательствах имущественного характера;

-сведения о наличии/ отсутствии заболевания, препятствующего поступлению на государственную гражданскую службу;

- фотография.

2.8. К документам (в бумажном и (или) электронном виде), содержащим персональные данные граждан, включенных в кадровый резерв, резерв управленческих кадров, перспективный кадровый резерв (резерв развития) Министерства, граждан, претендующих на включение в кадровый резерв, резерв управленческих кадров, перспективный кадровый резерв (резерв развития) Министерства, граждан, не допущенных к участию в конкурсах, граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор, относятся:

- документы по перспективному кадровому резерву (резерву развития),

- документы по резерву управленческих кадров;

- документы о проведении конкурса (заявления, анкеты, копии личных документов, протоколы).

2.9. К персональным данным граждан, претендующих на награждение и поощрение Министерством, относятся следующие сведения:

- ФИО;

- дата рождения;

- образование;

- ученая степень, звание, классный чин;

- должность;

- сведения о стаже работы;

- краткая характеристика и достижения гражданина.

2.10. К документам (в бумажном и (или) электронном виде), содержащим персональные данные граждан, претендующих на награждение и поощрение Министерством, относятся:

- наградной материал (представления, характеристики, наградные листы).

2.11. К персональным данным независимых экспертов, принимающих участие в заседаниях конкурсных и аттестационных комиссий, относятся следующие сведения:

- ФИО;

- дата рождения;

- паспортные данные;

- ИНН;

- СНИЛС;

- адрес;

- контактные телефоны;

- место работы.

2.12. К документам (в бумажном и (или) электронном виде), содержащим персональные данные независимых экспертов, принимающих участие в заседаниях конкурсных и аттестационных комиссий, относятся:

- договор о возмездном оказании услуг.

2.13. К персональным данным студентов, проходящих практику, относятся следующие сведения:

- ФИО;

- наименование образовательной организации;

- курс;

- период практики;

- контактные телефоны.

2.14. К документам (в бумажном и (или) электронном виде), содержащим персональные данные студентов, проходящих практику, относятся:

- документы о заочной учебе работников и прохождении практики студентов (справка-вызов, договор, заявление).

2.15. К персональным данным граждан, персональные данные которых необходимы для рассмотрения обращений граждан, объединений граждан относятся следующие сведения:

- ФИО;

- адрес;

- адрес электронной почты;

- контактные телефоны;

- краткое содержание обращения.

2.16. К документам (в бумажном и (или) электронном виде), содержащим персональные данные граждан, персональные данные которых необходимы для рассмотрения обращений граждан, объединений граждан относятся:

- обращения граждан, объединений граждан (письма, жалобы, заявления) и документы по их рассмотрению.

2.17. К персональным данным граждан, персональные данные которых необходимы в целях предоставления государственных услуг и исполнения государственных функций, относятся следующие сведения:

- ФИО;

- адрес;

- контактные телефоны;

- статус;

- номер лицевого счета.

2.18. К документам (в бумажном и (или) электронном виде), содержащим персональные данные граждан, персональные данные которых необходимы в целях предоставления государственных услуг и исполнения государственных функций, относятся:

- журнал учета приема граждан;

- исковые заявления;

- документы, необходимые для исполнения судебных актов.

III. Обработка персональных данных

3.1. Общие требования при обработке персональных данных.

3.1.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом от 27 июля 2006 г. «О персональных данных».

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

Обработка персональных данных допускается в следующих случаях:

- в целях исполнения служебного контракта, трудового договора, регистрации и обработки сведений о профессиональной деятельности государственных гражданских служащих, предоставления сведений в различные организации в соответствии с законодательством Российской Федерации, выполнения возложенных на Министерство функций в области финансово-бюджетной политики, а так же учета обращений граждан;

- обработка персональных данных необходима для исполнения полномочий Министерства в предоставлении государственных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Министерством своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов Министерства или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

- обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

- сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Министерством для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3.1.2. При определении объема и содержания обрабатываемых персональных данных, государственные гражданские служащие должны руководствоваться Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2004 г. № 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 02.05.2006 N 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и иными федеральными законами;

3.1.3.Обработка персональных данных в Министерстве осуществляется только специально уполномоченными лицами, перечень которых утверждается приказом Министерства, при этом указанные в приказе государственные гражданские служащие должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения непосредственных должностных обязанностей.

3.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан.

3.1.5.При принятии решений, затрагивающих интересы субъекта, государственные гражданские служащие не имеют права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки.

3.1.6. Министерство вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного контракта (далее - поручение Министерства). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении Министерства должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. № 152 «О персональных данных».

3.2. Получение персональных данных

3.2.1. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных, и дает согласие на их обработку Министерством, на передачу третьим лицам, на поручение обработки своих персональных данных третьими лицами. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Согласие на обработку специальных категорий персональных данных (национальная принадлежность, сведения о судимости), биометрических персональных данных и согласие считать определенные персональные данные общедоступными субъект персональных данных дает в письменной форме.

3.2.2. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, имя отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

- наименование и адрес Министерства;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка будет поручена такому лицу;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Министерством способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва;

- подпись субъекта персональных данных.

3.2.3. Для осуществления обработки персональных данных министра и государственных гражданских служащих берется их согласие в соответствии с Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» по форме, представленной в Приложении № 1 (п.1) к настоящему Положению.

3.2.4. Разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные представлено в Приложении № 2 к настоящему Положению.

3.2.5. Для осуществления обработки персональных данных работников Министерства согласие не требуется. Исключение составляет согласие на передачу персональных данных субъектов персональных данных третьим лицам, если такая передача не предусмотрена федеральным законом и согласие на поручение обработки персональных данных третьим лицам. Согласие субъекта персональных данных на обработку персональных и поручение обработки персональных данных представлено в Приложении № 1 (п.2) к настоящему Положению.

3.2.6. Для осуществления обработки персональных данных граждан, осуществляющих деятельность по гражданско-правовому договору, и независимых экспертов, принимающих участие в заседаниях конкурсных и аттестационных комиссий, согласие не требуется в соответствии с п.5 ч.1 ст.6 Федерального закона «О персональных данных».

3.2.7. Для осуществления обработки персональных данных граждан, претендующих на включение в кадровый резерв, резерв управленческих кадров, перспективный кадровый резерв (резерв развития) Министерства, граждан, претендующих на награждение и поощрение Министерством, студентов, проходящих практику, супруги(а) государственного гражданского служащего Министерства, несовершеннолетних детей государственного гражданского служащего (согласие предоставляет родитель/ законный представитель) берется их согласие в соответствии с п.1 ч.1 ст.6 Федерального закона «О персональных данных». Типовая форма согласия на обработку персональных данных представлена в Приложении № 1 (п. 3) к настоящему Положению.

3.2.8. Для осуществления обработки персональных данных граждан, персональные данные которых необходимы для рассмотрения обращений граждан, согласие не требуется в соответствии с п.2 ч.1 ст. 6 Федерального закона «О персональных данных».

3.2.9. Для осуществления обработки персональных данных граждан, персональные данные которых необходимы в целях предоставления государственных услуг и исполнения государственных функций, согласие на обработку их персональных данных не берется в соответствии с ч.4 ст.7 Федерального закона от 27 июля 2010 г. № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг". Исключение составляет согласие лица, не являющегося заявителем на получение государственной услуги, но чьи данные необходимы для получения такой услуги. При обращении за получением государственной услуги заявителю необходимо представить документы, подтверждающие получение согласия физического лица, не являющегося заявителем, или его законного представителя на обработку персональных данных. Документы, подтверждающие получение согласия, могут быть представлены, в том числе в форме электронного документа. Согласие не требуется с лиц, признанных безвестно отсутствующими, и разыскиваемых лиц, место нахождения которых не установлено уполномоченным федеральным органом исполнительной власти. Типовая форма согласия субъекта персональных данных на обработку персональных данных представлена в Приложении № 1 (п.4) к настоящему Положению.

3.2.10. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Министерство вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных Федеральным законом «О персональных данных». Форма заявления на прекращение обработки персональных данных представлена в Приложении № 3 к настоящему Положению.

3.2.11. В случае, когда Министерство получает персональные данные субъекта персональных данных от третьего лица, субъект персональных данных, персональные данные которого были получены, должен быть уведомлен об этом. Форма уведомления представлена в Приложении № 4 к настоящему Положению.

3.2.12. Министерство освобождается от обязанности предоставить субъекту персональных данных уведомление о получении его персональных данных от третьего лица в случаях, если:

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных Министерством;

- персональные данные получены Министерством на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

- предоставление субъекту персональных данных уведомления о получении его персональных данных от третьего лица нарушает права и законные интересы третьих лиц.

3.2.13. В уведомлении необходимо сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта персональных данных дать письменное согласие на их получение.

3.2.14. Обработка персональных данных о судимости может осуществляться в соответствии с федеральными законами.

3.2.15. Сведения, которые характеризуют физиологические и биологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться в Министерстве только при наличии согласия субъекта в письменной форме.

3.3. Доступ к персональным данным

3.3.1. Перечень государственных гражданских служащих, осуществляющих обработку персональных данных, как на бумажных носителях, так и осуществляющих автоматизированную обработку и (или) имеющих доступ к персональным данным, утверждается приказом Министерства. При этом указанные лица должны иметь право получать только те персональные данные субъектов персональных данных, которые необходимы для выполнения непосредственных должностных обязанностей. Доступ к персональным данным государственных гражданских служащих, не входящих в вышеуказанный перечень, запрещается.

3.3.2. Процедура оформления доступа к персональным данным включает в себя:

- ознакомление государственных гражданских служащих с настоящим Положением, Инструкцией пользователя информационных систем персональных данных и другими нормативными актами, регулирующими обработку и защиту персональных данных в Министерстве, под роспись;

- подписание государственным гражданским служащим обязательства о соблюдении конфиденциальности персональных данных. Форма обязательства о соблюдении конфиденциальности персональных данных представлена в Приложении № 6 к настоящему Положению;

- подписание государственным гражданским служащим типового обязательства о прекращении обработки персональных данных в случае расторжения служебного контракта. Форма обязательства представлена в Приложении № 7 к настоящему Положению.

3.4. Обеспечение конфиденциальности персональных данных

3.4.1. Персональные данные относятся к категории конфиденциальной информации.

3.4.2.Государственные гражданские служащие и иные лица, получающие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных

3.4.3. В целях информационного обеспечения деятельности структурных подразделений и государственных гражданских служащих могут быть созданы общедоступные источники персональных данных (информация на сайте, в средствах массовой информации, стенды, папки в кабинетах, справочники, адресные книги). Сведения о государственном гражданском служащем должны быть в любое время исключены из общедоступных источников персональных данных по требованию государственного гражданского служащего, суда или иных уполномоченных государственных органов.

3.5. Права и обязанности сторон при обработке персональных данных

3.5.1. Каждый субъект персональных данных имеет право:

- на получение полной информации о своих персональных данных и на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных действующим законодательством;

- на получение в доступной форме информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Министерством; правовые основания и цели обработки персональных данных; цели и применяемые Министерством способы обработки персональных данных; наименование и место нахождения Министерства, сведения о лицах (за исключением государственных гражданских служащих), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152–ФЗ «О персональных данных»; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; или другими федеральными законами;

- требовать от Министерства уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- в случае, если сведения, указанные в абзаце третьем пункта 3.5.1. настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, обратиться повторно в Министерство или направить повторный запрос в целях получения сведений, указанных в абзаце третьем пункта 3.5.1. настоящего Положения, и ознакомления с такими персональными данными, не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

- обратиться повторно в Министерство или направить повторный запрос в целях получения сведений, указанных в абзаце третьем пункта 3.5.1. настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцати дней после первоначального обращения или направления первоначального запроса, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения;

- заявить о своем несогласии при отказе Министерства исключить или исправить его персональные данные (в письменной форме с соответствующим обоснованием такого несогласия).

3.5.2. Министерство обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.

В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Министерство обязано уничтожить такие персональные данные. Министерство обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта персональных данных были переданы. Форма уведомления об уничтожении, изменении, прекращении обработки, устранении нарушений, допущенных при обработке персональных данных, представлена в Приложении № 5 к настоящему Положению.

3.5.3. Все обращения субъектов персональных данных по вопросам, касающимся обработки персональных данных, фиксируются в Журнале учета обращений субъектов персональных данных. Форма соответствующего Журнала представлена в Приложении № 9 к настоящему Положению.

3.6. Передача персональных данных

3.6.1. При передаче персональных данных субъекта персональных данных государственные гражданские служащие обязаны соблюдать следующие требования:

- не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни, здоровью или иных жизненно важных интересов субъекта персональных данных, а также в случаях, предусмотренных Гражданским кодексом Российской Федерации или иными федеральными законами;

- предупреждать лиц, получающие персональные данные субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных персональных данных;

- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;

- передавать персональные данные субъекта персональных данных представителям субъектов персональных данных в порядке, установленном Гражданским кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций;

- не отвечать на вопросы, связанные с передачей персональных данных субъекта персональных данных по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими государственными гражданскими служащими своих непосредственных должностных обязанностей, адресатам в чью компетенцию входит получение такой информации.

3.6.2. В целях обеспечения контроля правомерности использования переданных по запросам персональных данных лицами, их получившими, сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также состав переданной информации фиксируются в Журнале учета передачи персональных данных. Форма Журнала учета передачи персональных данных представлена в Приложении № 8 к настоящему Положению.

3.7. Хранение персональных данных

3.7.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Хранение персональных данных субъектов персональных данных в Министерстве может осуществляться на бумажных и машинных носителях, доступ к которым ограничен списком лиц, допущенных к обработке персональных данных.

3.7.2. Все отчуждаемые машинные носители персональных данных подлежат строгому учету. Форма Журнала учета отчуждаемых машинных носителей персональных данных приведена в Приложении № 10 к настоящему Положению.

3.7.3. Все хранимые или используемые СЗИ (средства защиты информации), эксплуатационная и техническая документация к ним подлежат поэкземплярному учету и выдаются под расписку в Журнале поэкземплярного учета СЗИ, эксплуатационной и технической документации к ним пользователям СЗИ, несущим персональную ответственность за их сохранность. Форма соответствующего Журнала приведена в Приложении № 11 к настоящему Положению.

3.7.4. Все хранимые или используемые криптосредства (средства криптографической защиты информации), эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету и выдаются под расписку в Журнале поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов ответственным пользователем криптосредств пользователям криптосредств, несущим персональную ответственность за их сохранность. Форма соответствующего Журнала приведена в Приложении № 12 к настоящему Положению. Ответственный пользователь криптосредств заводит и ведет на каждого пользователя криптосредств Лицевой счет, в котором регистрирует числящиеся за ними криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы. Форма Лицевого счета пользователя криптосредств приведена в Приложении № 13.

3.7.5. Хранение персональных данных субъектов должно происходить в порядке, исключающем их утрату или их неправомерное использование.

3.7.6. Персональные данные субъектов, содержащиеся на бумажных носителях и отчуждаемых машинных носителях информации, должны храниться в сейфах или запираемых шкафах, установленных в пределах контролируемой зоны Министерства. Все хранилища должны быть учтены, и соответствующая запись внесена в Журнал учета хранилищ (сейфов) (Приложение № 14).

Контролируемая зона Министерства установлена в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», приказом Федеральной службы по техническому и экспертному контролю России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и определена приказом Министерства от 27 мая 2013 года № 74 о/д «О контролируемой зоне Министерства финансов Республики Марий Эл по периметрам помещений, в которых располагается информационная система персональных данных «Минфин» (далее – контролируемая зона).

3.7.7. Персональные данные субъектов персональных данных, содержащиеся на машинных носителях информации могут храниться на автоматизированных рабочих местах и серверах информационных систем персональных данных Министерства, установленных в пределах контролируемой зоны Министерства.

3.7.8. Все меры, направленные на соблюдение конфиденциальности при обработке персональных данных субъекта персональных данных, распространяются как на бумажные, так и на машинные носители информации.

3.8. Уточнение, блокирование и уничтожение персональных данных

3.8.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Министерство обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Министерство обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

3.8.2. В случае подтверждения факта неточности персональных данных Министерство на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3.8.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Министерством или лицом, действующим по поручению Министерства, Министерство в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Министерства. В случае если обеспечить правомерность обработки персональных данных невозможно, Министерство в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Министерство обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. Форма уведомления представлена в Приложении № 5 к настоящему Положению.

3.8.4. В случае достижения цели обработки персональных данных Министерство обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Министерством и субъектом персональных данных либо если Министерство не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

3.8.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Министерство обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Министерством и субъектом персональных данных либо если Министерство не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

3.8.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 3.8.3-3.8.5, Министерство осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

3.8.7. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

3.8.8. Машинные и бумажные носители, у которых истек срок действия и непригодные для перезаписи, уничтожаются, о чем составляется Акт на списание и уничтожение машинных (бумажных) носителей информации. Форма соответствующего Акта представлена в Приложении № 16 к настоящему Положению.

IV. Защита персональных данных

4.1. Министерство при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.2. Защита персональных данных представляет собой жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных, используемых в процессе деятельности Министерства.

4.3. Обеспечение безопасности персональных данных достигается, в частности:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

-применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4.4. Основными организационными мерами по защите персональных данных в Министерстве являются:

- регламентация состава государственных гражданских служащих, функциональные обязанности которых требуют конфиденциальных знаний;

- строгое, избирательное и обоснованное распределение документов и информации между государственными гражданскими служащими;

- рациональное размещение рабочих мест государственных гражданских служащих, при котором исключалось бы бесконтрольное использование защищаемой информации;

- обеспечение знания государственными гражданскими служащими требований нормативно-методических документов по защите информации и сохранении тайны;

- обеспечение наличия необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- грамотная организация процесса уничтожения информации;

- организация в структурных подразделений Министерства регулярной воспитательной и разъяснительной работы с государственными гражданскими служащими в Министерстве по предупреждению утраты и утечки сведений при работе с конфиденциальными документами, содержащими персональные данные;

- разработка комплекта внутренних документов Министерства, регламентирующих процессы обработки персональных данных.

4.4. В качестве дополнительных организационных мер защиты персональных данных в Министерстве создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ к персональным данным с целью овладения ценными сведениями и их использования, а также их искажения, уничтожения, подмены, фальсификации содержания реквизитов документа. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Министерства: посетители, физические лица и служащие других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов, содержащих персональные данные. Для защиты персональных данных от несанкционированного доступа в Министерстве необходимо обеспечить:

- охрану в ночное время, в выходные и нерабочие праздничные дни помещений Министерства (контролируемых зон),

- постоянную работоспособность пожарной и охранной сигнализации.

4.5. В качестве технических мер защиты персональных данных в Министерстве должны применяться:

- антивирусная защита;

- межсетевые экраны;

-специализированные средства защиты информации от несанкционированного доступа.

4.6. После установки (обновления) программного обеспечения, администратор безопасности должен произвести требуемые настройки средств управления доступом к компонентам ПЭВМ и проверить работоспособность программного обеспечения и правильность его настройки и произвести соответствующую запись в Журнале учета нештатных ситуаций ПЭВМ, выполнения профилактических работ, установки и модификации программных средств ПЭВМ. Форма Журнала учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ПЭВМ приведен в Приложении № 15.

4.7. Администратор безопасности должен проводить периодическое тестирование технических и программных средств защиты и вносить результаты в Журнал периодического тестирования средств защиты информации, форма которого представлена в Приложении № 17, а так же производить проверку электронных журналов и вносить запись в соответствующий Журнал (Приложение № 18).

4.8. В целях организации контроля за обеспечением безопасности персональных данных в Министерстве должна быть создана постоянно действующая Комиссия по обеспечению безопасности персональных данных.

V. Взаимодействие с контрольно-надзорными органами

5.1. При поступлении запроса от уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) Министерство обязано сообщить информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати рабочих дней с даты получения такого запроса.

5.2. В случае выявления неправомерной обработки персональных данных по запросу уполномоченного органа по защите прав субъектов персональных данных Министерство обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) с момента получения указанного запроса на период проверки. В случае выявления неточных персональных данных по запросу уполномоченного органа по защите прав субъектов персональных данных Министерство обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) с момента получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5.3. В случае подтверждения факта неточности персональных данных Министерство на основании сведений, представленных уполномоченным органом по защите прав субъектов персональных данных, обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

5.4. При проведении контрольно-надзорных мероприятий за выполнением требований к обеспечению безопасности персональных данных при их обработке в государственных информационных системах персональных данных, а также в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных (по решению Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных), осуществляемых федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России) и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), представители вышеуказанных контрольно-надзорных органов не имеют права на ознакомление с персональными данными, обрабатываемыми в информационных системах персональных данных.

5.5. При проведении контрольно-надзорных мероприятий в отношении Министерства контрольно-надзорными органами, не осуществляющими контроль и надзор в сфере обработки персональных данных, представители вышеуказанных контрольно-надзорных органов имеют право на доступ к персональным данным только в сфере своей компетенции и в пределах своих полномочий в соответствии с законодательством Российской Федерации.

VI. Ответственность за разглашение конфиденциальной информации, содержащей персональные данные

6.1. Государственные гражданские служащие, получающие доступ к информации, содержащей персональные данные, несет персональную ответственность за сохранность конфиденциальности информации.

6.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных Министерства, несут ответственность в порядке, установленном федеральными законами и полную материальную ответственность в случае причинения их действиями ущерба в соответствии с п.7 ст. 243 Трудового кодекса Российской Федерации.

6.3. В случае, если Министерство поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Министерство. Лицо, осуществляющее обработку персональных данных по поручению Министерства, несет ответственность перед Министерством.

ПРИЛОЖЕНИЕ № 1

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

п.1

Согласие субъекта персональных данных на обработку персональных данных

Я, ______________________________________________________________________,

(фамилия, имя, отчество)

проживающий(ая) по адресу:

_________________________________________________________________________

паспорт серии _________ № _______________, выдан ___________________________

_________________________________________________________________________

в соответствии с требованиями Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» даю согласие Министерству финансов Республики Марий Эл, расположенному по адресу: 424001, Республика Марий Эл, г. Йошкар-Ола, ул. Успенская, д. 36 (далее – Оператор), на обработку (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) Оператором информации, содержащей мои персональные данные:

ФИО, дата, место рождения, пол, гражданство, адрес регистрации, проживания, контактные телефоны, паспортные данные, ИНН, СНИЛС, характер, вид работы, табельный номер, сведения об образовании, уровень владения иностранными языками, ученая степень, стаж работы, состояние в браке, сведения о составе семьи, сведения о воинском учете, сведения о приеме на работу и переводах на другие должности, сведения о присвоении квалификационного разряда, классного чина, дипломатического ранга, воинского звания, информация об аттестации, информация о повышении квалификации, сведения о профессиональной переподготовке, информация государственных и ведомственных наградах, почетных званиях, данные об отпусках, сведения о социальных льготах, на которые сотрудник имеет право в соответствии с законодательством, сведения об увольнении, сведения о доходах, имуществе, обязательствах имущественного характера, сведения о наличии/ отсутствии заболевания, препятствующего поступлению на государственную гражданскую службу, фотография и иные данные исполнения служебного контракта между мной и Министерством финансов Республики Марий Эл.

Оператор вправе осуществлять обработку персональных данных в имеющихся информационных системах Оператора, информационно-телекоммуникационных сетях, архивах, включать в реестры и отчетные формы для передачи сведений третьим лицам, в соответствии с законодательством и нормативными документами.

В соответствии с требованиями Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» даю согласие Оператору, на поручение обработки (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение) информации, содержащей мои персональные данные: фамилия, имя, отчество, паспортные данные, дата рождения, место жительства, номер р/с, сумма Открытому акционерному обществу «Сбербанк России», адрес: г. Москва, ул. Вавилова, д. 19 в целях выпуска банковской карты и начисления заработной платы, с использованием бумажных, цифровых носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их обработка будет осуществляться лицом, обязанным сохранять профессиональную тайну.

В целях информирования посетителей даю согласие следующие персональные данные: ФИО, структурное подразделение, должность, контактный телефон, фотография считать общедоступными.

Срок действия Согласия – с даты подписания Согласия, в течение ___ лет. Согласие может быть досрочно отозвано путем подачи письменного заявления в адрес Министерства финансов Республики Марий Эл.

_____________________

(дата)

_____________________

(подпись)

___________________________

расшифровка подписи

п.2

Согласие субъекта персональных данных на передачу персональных данных и поручение обработки персональных данных

Я, _______________________________________________________________________,

(фамилия, имя, отчество)

проживающий(ая) по адресу:

_________________________________________________________________________

паспорт серии _________ № _______________, выдан ___________________________

_________________________________________________________________________

в соответствии с требованиями Федерального закона от 27.07.06 N 152-ФЗ «О персональных данных» даю согласие Министерству финансов Республики Марий Эл, расположенному по адресу: 424001, Республика Марий Эл, г. Йошкар-Ола, ул. Успенская, д. 36 (далее – Оператор), на поручение обработки (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение) Оператором информации, содержащей мои персональные данные: фамилия, имя, отчество, паспортные данные, дата рождения, место жительства, номер р/с, сумма Открытому акционерному обществу «Сбербанк России» (Россия, Москва, 117997, ул. Вавилова, д. 19) в целях выпуска банковской карты и начисления заработной платы, с использованием бумажных, цифровых носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их обработка будет осуществляться лицом, обязанным сохранять профессиональную тайну.

В соответствии с требованиями Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» даю согласие Оператору на обработку (передачу: предоставление, доступ) Оператором информации, содержащей мои персональные данные:

_________________________________________________________________________

_________________________________________________________________________

следующим юридическим лицам (указать полное наименование и адрес юридического лица):

_________________________________________________________________________

_________________________________________________________________________

в целях __________________________________________________________________

_________________________________________________________________________

с использованием бумажных, цифровых носителей или по каналам связи, с соблюдением необходимых правовых, организационных и технических мер, обеспечивающих их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Срок действия Согласия – с даты подписания Согласия, в течение ___. Согласие может быть досрочно отозвано путем подачи письменного заявления в адрес Министерства финансов Республики Марий Эл.

_____________________

(дата)

_____________________

(подпись)

___________________________

расшифровка подписи

п.3

Типовое согласие субъекта персональных данных на обработку персональных данных

Я, ______________________________________________________________________,

(фамилия, имя, отчество)

проживающий(ая) по адресу:

_________________________________________________________________________

паспорт серии _________ № _______________, выдан ___________________________

_________________________________________________________________________

в соответствии с требованиями Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» даю согласие Министерству финансов Республики Марий Эл, расположенному по адресу: 424001, Республика Марий Эл, г. Йошкар-Ола, ул. Успенская, д. 36 (далее – Оператор), на обработку (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), передачу (предоставление, доступ), извлечение, использование, обезличивание, блокирование, удаление, уничтожение) Оператором информации, содержащей мои персональные данные:

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

в целях

_________________________________________________________________________

_________________________________________________________________________

Оператор вправе осуществлять обработку персональных данных в имеющихся информационных системах Оператора, информационно-телекоммуникационных сетях, архивах, включать в реестры и отчетные формы для передачи сведений третьим лицам, в соответствии с законодательством и нормативными документами.

В соответствии с требованиями Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» даю согласие Оператору на обработку (передачу: предоставление, доступ) Оператором информации, содержащей мои персональные данные:

_________________________________________________________________________

_________________________________________________________________________

следующим юридическим лицам (указать полное наименование и адрес юридического лица):

_________________________________________________________________________

_________________________________________________________________________

в целях __________________________________________________________________

_________________________________________________________________________

с использованием бумажных, цифровых носителей или по каналам связи, с соблюдением необходимых правовых, организационных и технических мер, обеспечивающих их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Даю согласие следующие персональные данные

_________________________________________________________________________

_________________________________________________________________________

считать общедоступными.

Срок действия Согласия – с даты подписания Согласия, в течение ___. Согласие может быть досрочно отозвано путем подачи письменного заявления в адрес Министерства финансов Республики Марий Эл.

_____________________

(дата)

_____________________

(подпись)

___________________________

расшифровка подписи

п.4

Согласие субъекта персональных данных на обработку персональных данных

Я, _______________________________________________________________________,

(фамилия, имя, отчество)

проживающий(ая) по адресу:

_________________________________________________________________________

паспорт серии _________ № _______________, выдан ___________________________

_________________________________________________________________________

в соответствии с требованиями Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» даю согласие Министерству финансов Республики Марий Эл, расположенному по адресу: 424001, Республика Марий Эл, г. Йошкар-Ола, ул. Успенская, д. 36 (далее – Оператор), на обработку (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) Оператором информации, содержащей мои персональные данные:

_________________________________________________________________________

_________________________________________________________________________

(перечень персональных данных)

в целях предоставления ____________________________________________________

(указать кому)

государственных услуг, предусмотренных Федеральным законом от 27.07.2010 г. № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".

Оператор вправе осуществлять обработку персональных данных в имеющихся информационных системах Оператора, информационно-телекоммуникационных сетях, архивах, реестрах и отчетных формах для передачи сведений третьим лицам, в том числе по запросам, в соответствии с законодательством и нормативными документами Российской Федерации.

Сведения о законном представителе:

_________________________________________________________________________

(фамилия, имя, отчество)

_________________________________________________________________________

(почтовый адрес места жительства, пребывания, фактического проживания, телефон)

Дата рождения законного представителя: ______________________________________

(число, месяц, год)

Документ, удостоверяющий личность законного представителя:

_________________________________________________________________________

(наименование, номер и серия документа, кем и когда выдан)

_________________________________________________________________________

Документ, подтверждающий полномочия законного представителя:

_________________________________________________________________________

(наименование, номер и серия документа, кем и когда выдан)

Примечание: сведения о законном представителе заполняются в том случае, если согласие заполняет законный представитель гражданина Российской Федерации.

Срок действия согласия – ___ с даты подписания согласия. Согласие может быть досрочно отозвано путем подачи письменного заявления в адрес Министерства финансов Республики Марий Эл.

______________________

(дата)

_____________________

(подпись)

__________________________

расшифровка подписи

Инструкция по заполнению формы согласия субъекта персональных данных на обработку персональных данных

1. Заполните поле «Фамилия, имя, отчество».

2. Укажите адрес проживания.

3. Укажите паспортные данные (или данные иного документа, удостоверяющего личность).

4. Убедитесь, что указаны полное наименование и адрес организации, которой Вы даете согласие на обработку персональных данных (далее – Оператор).

5. Ознакомьтесь с перечнем персональных данных, необходимых для передачи указанным юридическим (физическим) лицам. При необходимости дополните список юридических (физических) лиц.

6. Проверьте цели обработки персональных данных.

7. Ознакомьтесь с перечнем персональных данных, которые Вы разрешаете считать общедоступными.

8. Проверьте срок действия Согласия. Помните, что Согласие может быть досрочно отозвано путем подачи письменного заявления в адрес Министерства финансов Республики Марий Эл с указанием причины отзыва.

9. Поставьте дату, подпись, укажите расшифровку подписи.

ПРИЛОЖЕНИЕ № 2

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

Разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные

Я, _____________________________________________________________________,

(фамилия, имя, отчество)

паспорт серии _________ № _______________, выдан _________________________

________________________________________________________________________

получил(а) разъяснения о юридических последствиях отказа предоставить свои персональные данные Министерству финансов Республики Марий Эл в соответствии с законодательством Российской Федерации.

В соответствии со статьей 26 Федерального закона "О государственной гражданской службе Российской Федерации" субъект персональных данных, поступающий на гражданскую службу, при заключении служебного контракта, обязан представить определенный перечень информации о себе.

Без предоставления субъектом персональных данных обязательных для заключения служебного контракта сведений, служебный контракт не может быть заключен.

На основании части 1 статьи 40 Федерального закона "О государственной гражданской службе Российской Федерации" служебный контракт прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность продолжения замещения гражданским служащим должности гражданской службы.

_____________________

(дата)

_____________________

(подпись)

_________________________

расшифровка подписи

ПРИЛОЖЕНИЕ № 3

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

Министерство финансов Республики Марий Эл, 424001, Республика Марий Эл, г. Йошкар-Ола, ул. Успенская, д. 36

___________________________________

___________________________________

(фамилия, имя, отчество субъекта персональных данных)

проживающего по адресу: ____________

___________________________________

__________________________________,

паспорт серии _________№ __________,

выдан _____________________________

___________________________________

___________________________________

___________________________________

заявление.

Прошу Вас прекратить обработку моих персональных данных в связи с

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

___________________________________________________________________

(указать причину)

______________________

(дата)

______________________

(подпись)

______________________

расшифровка подписи

ПРИЛОЖЕНИЕ № 4

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

Уведомление

Уважаемый(ая) __________________________________________________________!

(фамилия, имя, отчество)

на основании ____________________________________________________________

Министерство финансов Республики Марий Эл, адрес: 424001, Республика Марий Эл, г. Йошкар-Ола, ул. Успенская, д. 36 получило от

________________________________________________________________________

________________________________________________________________________

(наименование организации)

следующую информацию, содержащую Ваши персональные данные: _____________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

с целью: ________________________________________________________________

________________________________________________________________________

________________________________________________________________________

Вы имеете право:

- на полную информацию о Ваших персональных данных, обрабатываемых Министерством финансов Республики Марий Эл (далее - Министерство);

- на свободный бесплатный доступ к Вашим персональным данным, включая право на получение копий любой записи, содержащей Ваши персональные данные, за исключением случаев, предусмотренных действующим законодательством;

- требовать от Министерства уточнения Ваших персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, получать иную информацию, касающуюся обработки Ваших персональных данных.

_______________________

(дата)

_______________________

(подпись)

______________________

расшифровка подписи

Настоящее уведомление на руки получил.

_______________________

(дата)

_______________________

(подпись)

______________________

расшифровка подписи

ПРИЛОЖЕНИЕ № 5

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

Уведомление об уничтожении, изменении, прекращении обработки, устранении нарушений, допущенных при обработке персональных данных

Уважаемый(ая) __________________________________________________________!

(фамилия, имя, отчество)

В связи с _______________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

(причина)

сообщаем Вам, что Министерство финансов Республики Марий Эл, адрес: 424001, Республика Марий Эл, г. Йошкар-Ола, ул. Успенская, д. 36 прекратило обработку Ваших персональных данных и указанная информация подлежит уничтожению (изменению).

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

(информация, содержащая персональные данные)

_______________________

(дата)

_______________________

(подпись)

______________________

расшифровка подписи

Настоящее уведомление на руки получил:

_______________________

(дата)

_______________________

(подпись)

______________________

расшифровка подписи

ПРИЛОЖЕНИЕ № 6

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

Обязательство о соблюдении конфиденциальности персональных данных

Я, _____________________________________________________________________,

(фамилия, имя, отчество)

паспорт серии _________ № _______________, выдан _________________________

________________________________________________________________________

________________________________________________________________________

« ______ » _______________ _______ года, работающий(ая) в должности

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

(должность, наименование структурного подразделения)

предупрежден (а) о том, что на период исполнения должностных обязанностей в соответствии с должностным регламентом мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства:

1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.

2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.

3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.

4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.

5. В течение года после прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.

Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных, или их утраты я несу ответственность, предусмотренную КоАП РФ.

_______________________

(дата)

_______________________

(подпись)

______________________

расшифровка подписи

ПРИЛОЖЕНИЕ № 7

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

Типовое обязательство о прекращении обработки персональных данных в случае расторжения служебного контракта

Я, _____________________________________________________________________,

(фамилия, имя, отчество)

паспорт серии _________ № _______________, выдан _________________________

________________________________________________________________________

________________________________________________________________________

« ______ » _______________ _______ года, работающий(ая) в должности

________________________________________________________________________

________________________________________________________________________

________________________________________________________________________

(должность, наименование структурного подразделения)

Настоящим добровольно принимаю на себя обязательства:

1. Прекратить обработку персональных данных субъектов персональных данных, которые мне доверены в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта.

2. После расторжения со мной служебного контракта не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.

______________________

(дата)

______________________

(подпись)

______________________

расшифровка подписи

Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных я несу ответственность, предусмотренную КоАП РФ.

______________________

(дата)

______________________

(подпись)

______________________

расшифровка подписи

ПРИЛОЖЕНИЕ № 8

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

Журнал учета передачи персональных данных

№

Сведения о запрашивающем лице

Состав запрашиваемых персональных данных

Цель получения персональных данных

Отметка о передаче или отказе в передаче персональных данных

Дата передачи/ отказа в передаче персональных данных

Подпись ответственного сотрудника

ПРИЛОЖЕНИЕ № 9

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

Журнал учета обращений субъектов персональных данных

№

Сведения об обратившемся субъекте персональных данных

Краткое содержание обращения (цель получения информации)

Отметка о предоставлении или отказе в предоставлении информации

Дата передачи/отказа в предоставлении информации

Подпись обратившегося субъекта персональных данных

Подпись ответственного сотрудника

ПРИЛОЖЕНИЕ № 10

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

ЖУРНАЛ

учета отчуждаемых машинных носителей персональных данных

Учетный номер

Дата постановки на учет

Вид машинного носителя

Место хранения (размещения)

Лицо, ответственное за использование и хранение

Отметка об уничтожении

Ф.И.О., должность

Дата получения

Подпись

Дата возврата

Подпись

Дата и № акта

Подпись ответственного лица

1

2

3

4

5

6

7

8

9

10

11

ПРИЛОЖЕНИЕ № 11

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

ЖУРНАЛ

поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним

№п/п

Наимено-вание СЗИ, эксплуата-ционной и техничес-кой докумен-тации к ним

Серийные номера СЗИ, эксплуата-ционной и техничес-кой докумен-тации к ним

Отметка о получении

Отметка о выдаче

Отметка о подключении (установке) СЗИ

Отметка об изъятии СЗИ из аппаратных средств

Примечание

От кого получены

Дата и номер сопро-водите-льного письма

Ф.И.О. поль-зователя СЗИ

Дата и расписка в получении

Ф.И.О., пользователей СЗИ, произведших подключение (установку)

Дата подключения (установки) и подписи лиц, произведших подключение (установку)

Номера аппарат­ных средств, в которые установ-лены или к которым подключены СЗИ

Дата изъятия (уничтожения)

Ф.И.О. пользователей СЗИ, производивших изъятие (уничтожение)

Номер акта или расписка об уничтожении

1

2

3

5

6

7

8

9

10

11

12

13

14

15

ПРИЛОЖЕНИЕ № 12

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

ЖУРНАЛ

поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов

№п/п

Наимено-вание СКЗИ, эксплуа-тацион-ной и техничес-кой докумен-тации к ним, ключевых докумен-тов

Серийные номера СКЗИ, эксплуа-тацион-ной и техничес-кой докумен-тации к ним, номера серий ключевых докумен-тов

Номера экземп-ляров (крипто-графи-ческие номера) ключе-вых докумен-тов

Отметка о получении

Отметка о выдаче

Отметка о подключении (установке) СКЗИ

Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов

Примечание

От кого получены

Дата и номер сопро-водите-льного письма

Ф.И.О. Пользо-вателя СКЗИ

Дата и расписка в получении

Ф.И.О. сотрудников органа крипто-графической защиты, пользо-вателя СКЗИ, произведших подключение (установку)

Дата подключения (установки) и подписи лиц, произв-едших подключение (установку)

Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ

Дата изъятия (уничтожения)

Ф.И.О. сотрудни-ков органа криптог­рафичес-кой защиты, пользователя СКЗИ, произво­дивших изъятие (уничтожение)

Номер акта или распис-ка об уничто-жении

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

ПРИЛОЖЕНИЕ № 13

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

ЛИЦЕВОЙ СЧЕТ

пользователя криптосредств _______________________________________________________________________________

(должность, ФИО)

№ п/п

Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов

Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов

Номера экземпляров (криптографические номера) ключевых документов

Отметка о получении

Отметка о передаче

Отметка о возврате, уничтожении

Примечание

От кого получены

Дата и расписка в получении

Кому передано СКЗИ

Дата и расписка в передаче

Дата возврата (уничтожения)

Расписка о возврате (уничтожении)

1

2

3

4

5

6

7

8

9

10

11

ПРИЛОЖЕНИЕ № 14

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

Журнал учета хранилищ (сейфов)

Учетный номер

Наименование хранилища (сейф, металлический шкаф)

Инвентарный номер

Местонахождение (подразделение, номер комнаты)

Что находится (документы, изделия)

Фамилия ответственного за сейф (шкаф)

Кол-во комплектов ключей и их номера

Расписка ответственного за хранилище в получении ключа и дата

Расписка в приеме ключа и дата

1

2

3

4

5

6

7

8

9

ПРИЛОЖЕНИЕ № 15

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

ЖУРНАЛ

учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ПЭВМ

№ п/п

Дата

Краткое описание выполненной работы (нештатной ситуации)

ФИО исполнителей и их подписи

ФИО ответственного за эксплуатацию ПЭВМ, подпись

Подпись администратора безопасности

Примечание (ссылка на заявку)

1

2

3

4

5

6

7

ПРИЛОЖЕНИЕ № 16

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

АКТ

на списание и уничтожение машинных (бумажных) носителей информации

Комиссия в составе:

Председатель комиссии:

Члены комиссии:

составила настоящий акт в том, что перечисленные в нем машинные (бумажные) носители информации подлежат уничтожению как утратившие практическое значение и непригодные для перезаписи.

№ п/п

Вид носителя

Учетный номер носителя

Дата поступления

Краткое содержание информации

Всего подлежит списанию и уничтожению __________________ наименований

(прописью)

машинных (бумажных) носителей информации

Правильность произведенных записей в акте проверил:

_________________________________________________________________________

(подпись)

Машинные (бумажные) носители информации перед уничтожением сверили с записями в акте и полностью уничтожили путем ______________________________________________________.

«_____»_______________20__г.

Акт составлен в ______ экз.

Председатель комиссии:

Члены комиссии:

ПРИЛОЖЕНИЕ № 17

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

Журнал периодического тестирования средств защиты информации

Дата тестирования

Наименование средства защиты

Цель, задачи тестирования

Результат тестирования

Фамилия, имя, отчество, должность должностного лица (должностных лиц), проводящего(их) тестирование

Подпись должностного лица (лиц), проводившего тестирование

1

2

3

4

5

6

ПРИЛОЖЕНИЕ № 18

к Положению о защите персональных данных в Министерстве финансов Республики Марий Эл

Журнал проверок электронных журналов

Дата проверки

Наименование журнала

Цель, задачи проверки

Результат проверки

Фамилия, имя, отчество, должность должностного лица (должностных лиц), проводящего(их) проверку

Подпись должностного лица (лиц), проводившего проверку

1

2

3

4

5

6

ЛИСТ ОЗНАКОМЛЕНИЯ

с Положением о защите персональных данных в МИНИСТЕРСТВЕ ФИНАНСОВ РЕСПУБЛИКИ МАРИЙ ЭЛ

№ п/п

Ф.И.О.

Должность

Дата

Подпись

УТВЕРЖДЕНЫ

приказом Министерства финансов Республики Марий Эл от 14 июня 2013 г. № 11-н (в редакции приказа Министерства финансов Республики Марий Эл от 30 сентября 2014 г. № 25-н)

ПРАВИЛА

рассмотрения запросов субъектов персональных данных или их представителей в Министерстве финансов Республики Марий Эл

1. Общие положения

1.1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Министерстве финансовРеспублики Марий Эл разработаны в соответствии с требованиями Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2004 г. № 79-ФЗ "О государственной гражданской службе Российской Федерации", Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ними нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют порядок рассмотрения поступающих в Министерство финансов Республики Марий Эл (далее - министерство) запросов субъектов персональных данных или их представителей.

2. Права субъекта персональных данных на получение информации, касающейся обработки его персональных данных

2.1. В соответствии с действующим законодательством субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) применяемые министерством способы обработки персональных данных;

4) наименование и место нахождения министерства, сведения о лицах (за исключением государственных гражданских служащих Республики Марий Эл и работников в министерстве), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с министерством или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению министерства, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

2.2. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:

обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

2.3. Если субъект персональных данных считает, что обработка его персональных данных в министерстве осуществляется с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие министерства в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

2.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

3. Порядок рассмотрения запросов субъектов персональных данных или их представителей

3.1. Поступающий в министерство запрос субъекта персональных данных или его представителя (далее – запрос субъекта персональных данных) должен содержать:

номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

документ, подтверждающий полномочия представителя субъекта персональных данных;

сведения, подтверждающие участие субъекта персональных данных в отношениях с министерством (номер служебного контракта (трудового договора), дата заключения служебного контракта (трудового договора), условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных министерством;

подпись субъекта персональных данных или его представителя.

3.2. Запрос субъекта персональных данных может быть направлен в министерство в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

3.3. При поступлении запроса субъекта персональных данных, запрос регистрируется в министерстве и передается на рассмотрение министру финансов Республики Марий Эл в соответствии с порядком рассмотрения обращения граждан, поступивших в Министерство финансов Республики Марий Эл.

3.4. Министерство в течение тридцати календарных дней с даты получения запроса субъекта персональных данных обязано сообщить субъекту персональных данных информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, и предоставить возможность ознакомления с ними.

3.5.Сведения, указанные в пункте 2.1. настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3.6. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, должен быть дан в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

3.7. Министерство обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, министерство обязано внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, министерство обязано уничтожить такие персональные данные. Министерство обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

3.8. В случае, если сведения, указанные в пункте 2.1. настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в министерство или направить повторный запрос в целях получения сведений, указанных в пункте 2.1. настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

3.9. Субъект персональных данных вправе обратиться повторно в министерство или направить повторный запрос в целях получения сведений, указанных в пункте 2.1. настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 3.8. настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 3.1. настоящих Правил, должен содержать обоснование направления повторного запроса.

3.10. Министерство вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 3.8. и 3.9. настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на министерстве.