Результаты контрольных мероприятий

Версия для печатиПоложение о порядке обработки персональных данных в Счетной палате Самарской области

Положение о порядке обработки персональных данных

1. Общие положения

1.1. Настоящее Положение о порядке обработки персональных данных в Счетной палате Самарской области (далее – Положение) разработано в соответствии с Федеральными законами от 27.07.2004 79-ФЗ «О государственной гражданской службе Российской Федерации» (далее – Федеральный закон № 79-ФЗ), от 27.07.2006  № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), Указом Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела», Трудовым кодексом Российской Федерации, постановлением Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» с целью защиты персональных данных государственных гражданских служащих и иных работников (далее – сотрудники) Счетной палаты Самарской области (далее – Счетная палата).

1.2. Положение определяет порядок и условия обработки персональных данных в Счетной палате.

1.3. В целях настоящего Положения используются следующие термины и понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.4. Обработка персональных данных в Счетной палате осуществляется в целях реализации полномочий органа государственного финансового контроля, а также ведения кадровой работы в Счетной палате (ведение и хранение личных дел, учетных карточек и трудовых книжек сотрудников Счетной палаты), содействия гражданскому служащему в прохождении государственной гражданской службы Самарской области, в обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, учета результатов исполнения им должностных обязанностей, обеспечения сохранности имущества Счетной палаты, а также документов кандидатов на замещение вакантных должностей и на включение в кадровый резерв Счетной палаты для замещения должностей государственной гражданской службы.

1.5. Счетная палата публикует на официальном сайте Счетной палаты в информационно-телекоммуникационной сети «Интернет» настоящее Положение, а также сведения о реализуемых требованиях к защите персональных данных сотрудников в Счетной палате.

Счетная палата знакомит под роспись сотрудников Счетной палаты с документами, устанавливающими порядок обработки персональных данных в Счетной палате и их правами и обязанностями в этой области, а также знакомит сотрудников, непосредственно осуществляющих обработку персональных данных с положениями действующего законодательства Российской Федерации о персональных данных

2.      Порядок обработки персональных данных

2.1. Обработка персональных данных сотрудников Счетной палаты осуществляется с их письменного согласия по форме согласно приложения 1* к настоящему Положению, которое действует со дня их поступления  на государственную гражданскую службу (работу) на время прохождения гражданской службы (работы).

2.2. Представитель нанимателя в лице председателя Счетной палаты, а также сотрудники кадровой службы Счетной палаты обеспечивают защиту персональных данных сотрудников Счетной палаты, содержащихся в их личных делах, от неправомерного их использования или утраты.

Председатель Счетной палаты назначает лицо, ответственное за организацию обработки персональных данных в Счетной палате.

На лицо, ответственное за организацию обработки персональных данных возлагаются следующие обязанности:

а) осуществление внутреннего контроля за соблюдением Счетной палатой и ее сотрудниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

б) доведение до сведения сотрудников Счетной палаты положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

в) организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.

Все действия по передаче персональных данных, хранящихся в Счетной палате, другим государственным органам, организациям и физическим лицам, подлежат обязательному согласованию с лицом, ответственным за организацию обработки персональных данных в Счетной палате.

Сотрудники Счетной палаты обязаны предоставлять лицу, ответственному за организацию обработки персональных данных в Счетной палате, информацию, необходимую для осуществления внутреннего контроля за соблюдением Счетной палатой и ее сотрудниками законодательства Российской Федерации о персональных данных.

2.3. Защита персональных данных сотрудников Счетной палаты от неправомерного их использования или утраты обеспечивается за счет средств Счетной палаты в порядке, установленном федеральным законодательством и законодательством Самарской области.

2.4. Персональные данные, иные сведения, содержащиеся в личных делах сотрудников Счетной палаты, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральным законодательством и законодательством Самарской области случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.

2.5. Обработка персональных данных сотрудников Счетной палаты осуществляется как с использованием средств автоматизации, так и без использования таких средств.

2.6.      Приказом председателя Счетной палаты утверждается список должностей государственных гражданских служащих Счетной палаты, уполномоченных на обработку персональных данных и (или) имеющих доступ к персональным данным.

2.7. Гражданские служащие Счетной палаты, уполномоченные на обработку персональных данных и (или) имеющие доступ к персональным данным, под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме согласно приложению 2* к настоящему Положению.

2.8. При обработке персональных данных сотрудников Счетной палаты гражданские служащие Счетной палаты, уполномоченные на обработку персональных данных, обязаны соблюдать следующие требования:

а) персональные данные следует получать лично у сотрудника Счетной палаты. В случае возникновения необходимости получения персональных данных сотрудника Счетной палаты у третьей стороны следует известить об этом  сотрудника Счетной палаты заранее, получить его письменное согласие и сообщить сотруднику Счетной палаты о целях, предполагаемых источниках и способах получения персональных данных;

б) запрещается получать, обрабатывать и приобщать к личному делу сотрудника Счетной палаты не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

в) при принятии решений, затрагивающих интересы сотрудника Счетной палаты, запрещается основываться на персональных данных сотрудника Счетной палаты, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

г) передача персональных данных сотрудников Счетной палаты третьей стороне не допускается без письменного согласия субъекта персональных данных, за исключением случаев, установленных законодательством Российской Федерации;

   д) обеспечение конфиденциальности персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

  е) в случае выявления недостоверных персональных данных сотрудника Счетной палаты или неправомерных действий с ними в Счетной палате при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных сотрудники кадровой службы Счетной палаты обязаны осуществить блокирование персональных данных, относящихся к соответствующему сотруднику, с момента такого обращения или получения такого запроса на период проверки;

ж) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации;

  з) опубликование и распространение персональных данных гражданских служащих допускается в случаях, установленных законодательством Российской Федерации.

   2.9. Счетная палата в соответствии со статьями 44 и 64 Федерального закона № 79-ФЗ вправе осуществлять обработку (в том числе автоматизированную) персональных данных гражданских служащих при формировании кадрового резерва Счетной палаты.

 2.10. Счетная палата в соответствии со статьей 22 Федерального закона   № 79-ФЗ и пунктами 24 и 25 Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденного Указом Президента Российской Федерации от 01.02.2005 № 112  вправе осуществлять обработку (в том числе автоматизированную) персональных данных кандидатов на замещение вакантных должностей и на включение в кадровый резерв Счетной палаты для замещения должностей государственной гражданской службы.

   2.11. При переводе или назначении гражданского служащего на должность гражданской службы в другом государственном (муниципальном) органе его личное дело передается в государственный (муниципальный) орган по новому месту замещения должности гражданской (муниципальной) службы по письменному запросу соответствующего органа.

3.       Порядок обработки персональных данных в информационных системах

3.1. Приказом председателя Счетной палаты назначается лицо (структурное подразделение), ответственное за обеспечение безопасности персональных данных в информационных системах Счетной палаты.

 3.2. Приказом председателя Счетной палаты создается комиссия для проведения работ по классификации информационных систем персональных данных в Счетной палате.

Классификация указанных информационных систем персональных данных осуществляется в порядке, установленном законодательством Российской Федерации.

3.3. Персональные данные в информационных системах Счетной палаты могут быть представлены для ознакомления:

а) сотрудникам, допущенным к обработке персональных данных с использованием средств автоматизации в части, касающейся исполнения их должностных обязанностей;

б) уполномоченным работникам федеральных органов исполнительной власти в порядке, установленном законодательством Российской Федерации.

3.4. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

3.5. Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.

3.6. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

3.7. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных          к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.

3.8. Доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных Счетной палаты должен требовать обязательного прохождения процедуры идентификации и аутентификации.

3.9. Лицом (структурным подразделением), ответственным за обеспечение безопасности персональных данных в информационных системах Счетной палаты Самарской области должно быть обеспечено:

а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства Счетной палаты;

б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

г) постоянный контроль за обеспечением уровня защищенности персональных данных;

д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер  по предотвращению возможных опасных последствий подобных нарушений;

и) определение угроз безопасности персональных данных при их обработке в информационных системах Счетной палаты;

к) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

л) регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.

4.      Порядок обработки персональных данных без использования средств автоматизации

4.1.         Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации (далее – материальные носители).

4.2.         Приказом председателя Счетной палаты назначаются лица, ответственные за защиту персональных данных сотрудников Счетной палаты Самарской области при неавтоматизированной обработке персональных данных.

4.3.         При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

4.4.         При неавтоматизированной обработке персональных данных на материальных носителях:

а) не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы;

б) персональные данные должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков);

в) документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

г) дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

4.5.         При использовании типовых форм документов, характер информации, содержащейся в которых, предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование)        и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися   в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо   не совместимы.

4.6.         Неавтоматизированная обработка персональных данных в электронном виде может осуществляться на внешних электронных носителях информации.

4.7.         При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации применяются организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа  к персональным данным лиц, не допущенных к их обработке.

4.8.         Материальные носители информации, содержащей персональные данные, должны храниться в служебных помещениях в надежно запираемых и (или) опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

4.9.         Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

4.10.      Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

5.      Права и обязанности сотрудника Счетной палаты

по обеспечению достоверности и защиты персональных данных, хранящихся в его личном деле

5.1. В целях обеспечения достоверности и защиты своих персональных данных сотрудник Счетной палаты имеет право:

а) получать информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

б) осуществлять бесплатный свободный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;

в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства Российской Федерации;

г) требовать от председателя Счетной палаты или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них изменениях или исключениях из них;

д) обжаловать в суд или в уполномоченный орган по защите прав субъектов персональных данных любые неправомерные действия или бездействие уполномоченного лица при обработке и защите персональных данных;

е) определять своих представителей для защиты своих персональных данных;

ж) доступ к относящимся к ним медицинским данным, хранящимся в Счетной палате, с помощью медицинского специалиста по их выбору.

5.2. Сотрудники Счетной палаты обязаны своевременно сообщать в кадровую службу Счетной палаты обо всех изменениях в их персональных данных, лично представлять в кадровую службу Счетной палаты документы, подтверждающие эти изменения, для снятия с них копий, подлежащих приобщению к личному делу.

* Приложение не публикуется.