Приказ комитета Ставропольского края по делам архивов от 03.04.2013 N 32 "Об утверждении нормативных правовых актов комитета Ставропольского края по делам архивов по обеспечению выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"
КОМИТЕТ СТАВРОПОЛЬСКОГО КРАЯ
ПО ДЕЛАМ АРХИВОВ
ПРИКАЗ
от 3 апреля 2013 г. № 32
ОБ УТВЕРЖДЕНИИ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ КОМИТЕТА
СТАВРОПОЛЬСКОГО КРАЯ ПО ДЕЛАМ АРХИВОВ ПО ОБЕСПЕЧЕНИЮ
ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ, ПРЕДУСМОТРЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ
"О ПЕРСОНАЛЬНЫХ ДАННЫХ" И ПРИНЯТЫМИ В СООТВЕТСТВИИ
С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ АКТАМИ, ОПЕРАТОРАМИ,
ЯВЛЯЮЩИМИСЯ ГОСУДАРСТВЕННЫМИ ИЛИ МУНИЦИПАЛЬНЫМИ ОРГАНАМИ
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 01 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" приказываю:
1. Утвердить следующие нормативные правовые акты комитета Ставропольского края по делам архивов, являющиеся приложением к настоящему приказу:
Правила обработки персональных данных в комитете Ставропольского края по делам архивов;
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами комитета Ставропольского края по делам архивов;
Перечень информационных систем персональных данных комитета Ставропольского края по делам архивов;
Должностную инструкцию ответственного за организацию обработки персональных данных в комитете Ставропольского края по делам архивов;
Форму типового обязательства работника комитета Ставропольского края по делам архивов, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
Типовую форму согласия на обработку персональных данных в комитете Ставропольского края по делам архивов иных субъектов персональных данных.
2. Контроль за исполнением настоящего приказа возложить на заместителя председателя комитета.
Председатель комитета
Е.И.ДОЛГОВА
Утверждены
приказом
комитета Ставропольского края
по делам архивов
от 03 апреля 2013 г. № 32
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ
СТАВРОПОЛЬСКОГО КРАЯ ПО ДЕЛАМ АРХИВОВ
I. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящие Правила обработки персональных данных в комитете Ставропольского края по делам архивов (далее - Правила) устанавливают единый порядок обработки персональных данных в комитете Ставропольского края по делам архивов (далее - комитет).
2. Обработка персональных данных в комитете осуществляется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе № 152-ФЗ.
4. Целью настоящих Правил является обеспечение защиты персональных данных граждан от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5. Настоящие Правила устанавливают и определяют:
1) процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
2) цели обработки персональных данных;
3) содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) сроки обработки и хранения обрабатываемых персональных данных;
6) порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований.
6. Основные условия обработки персональных данных:
6.1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:
после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных пунктами 2 - 7, 9 - 11 части 1 статьи 6 Федерального закона № 152-ФЗ;
после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ставропольскому краю, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона № 152-ФЗ.
6.2. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации в порядке, установленном в комитете.
II. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ
НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации:
7.1. Информационные ресурсы, содержащие персональные данные, созданные, приобретенные, накопленные в комитете, а также полученные путем иных установленных законом способов, являются собственностью комитета и не могут быть использованы иначе, как с разрешения комитета или в установленных законом случаях.
7.2. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, относятся:
назначение ответственного за организацию обработки персональных данных в комитете;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона № 152-ФЗ;
осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
оценка вреда, который может быть причинен субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами;
запрет на обработку персональных данных лицами, не допущенными к их обработке;
запрет на обработку персональных данных под диктовку.
7.3. Документы, определяющие политику в отношении обработки персональных данных, подлежат обязательному опубликованию на официальном сайте комитета в течение 10 дней после их утверждения.
7.4. За разглашение информации, содержащей персональные данные, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение режима защиты, обработки и порядка использования этой информации работник комитета может быть привлечен к дисциплинарной или иной ответственности, предусмотренной действующим законодательством.
8. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации:
8.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации комитета осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
8.2. При эксплуатации автоматизированных информационных систем необходимо соблюдать следующие требования:
к работе допускаются только лица, назначенные соответствующим приказом;
на персональных электронных вычислительных машинах (далее - ПЭВМ), дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
на период обработки защищаемой информации в помещении могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации;
допуск других лиц в указанный период может осуществляться с разрешения председателя комитета или заместителя председателя комитета.
8.3. Руководители подразделений комитета, работники комитета, осуществляющие обработку персональных данных (далее - пользователи), обязаны контролировать и выполнять предусмотренные в комитете меры по защите информации, содержащей персональные данные.
8.4. Руководители подразделений комитета обязаны:
участвовать в подготовке перечня персональных данных, обрабатываемых на ПЭВМ подразделения;
готовить к утверждению списки работников, которых по своим должностным обязанностям необходимо допустить к работе с персональными данными в информационной системе комитета;
контролировать целевое использование работниками ресурсов информационно-коммуникационной сети "Интернет";
контролировать выполнение пользователями общих правил работы на ПЭВМ и в локальной вычислительной сети комитета (далее - ЛВС);
выборочно контролировать характер исходящей информации, направляемой пользователями по электронной почте другим адресатам, и принимать оперативные меры к соблюдению ими установленных требований по защите персональных данных;
при обнаружении нарушений установленных требований по защите персональных данных, в результате которых вскрыты факты их разглашения, прекратить работы на рабочем месте, где обнаружены нарушения, доложить председателю комитета и поставить в известность ответственного по защите информации;
назначать служебные расследования по фактам разглашения информации, содержащей персональные данные, или утери документов, содержащих такую информацию, по фактам нарушений пользователями правил, установленных для работы с персональными данными в ЛВС, а также нарушений требований по защите информации;
обеспечивать условия для работы при проверке в подразделении эффективности предусмотренных мер защиты информации;
определять порядок передачи информации, содержащей персональные данные, другим подразделениям комитета, сторонним организациям и органам.
8.5. При приеме на работу работник предупреждается об ответственности за разглашение сведений, содержащих персональные данные, которые станут ему известными в связи с предстоящим выполнением своих служебных обязанностей.
8.6. Пользователь обязан:
знать правила работы в ЛВС и принятые меры по защите ресурсов ЛВС (в части, его касающейся);
при работе на своей рабочей станции (ПЭВМ) и в ЛВС выполнять только служебные задания;
перед началом работы на ПЭВМ проверить свои рабочие папки на жестком магнитном диске, съемные магнитные носители информации на отсутствие вирусов с помощью штатных средств антивирусной защиты, убедиться в исправности своей рабочей станции;
при сообщениях тестовых программ о появлении вирусов немедленно прекратить работу, доложить администратору сети и своему непосредственному руководителю;
при обработке информации, содержащей персональные данные, использовать только зарегистрированные в журналах учета комитета машинные носители информации (далее - МНИ);
при необходимости использования магнитных носителей, поступивших из других подразделений, учреждений, предприятий и организаций, прежде всего провести проверку этих носителей на отсутствие вирусов;
выполнять предписания администратора сети и ответственного за защиту информации в комитете;
представлять для контроля свою рабочую станцию (ПЭВМ) руководителю подразделения, администратору сети и специалисту сектора по защите информации;
сохранять в тайне свой индивидуальный пароль, периодически, но не реже чем один раз в полгода, изменять его и не сообщать другим лицам;
вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;
учет, размножение, обращение печатных материалов, содержащих персональные данные, проводить в соответствии с требованиями Инструкции по делопроизводству в аппарате Правительства Ставропольского края, утвержденной приказом руководителя аппарата Правительства Ставропольского края от 22 января 2001 года № 8;
при обнаружении различных неисправностей в работе компьютерной техники или ЛВС, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек, печатей), несоответствии номеров на аппаратных средствах сообщить в сектор по защите информации, администратору сети и поставить в известность руководителя подразделения.
Пользователю при работе запрещается:
играть в компьютерные игры;
приносить различные компьютерные программы и пытаться установить их на локальный диск компьютера без уведомления ответственного по защите информации и администратора сети;
перенастраивать программное обеспечение компьютера;
самостоятельно вскрывать комплектующие рабочей станции (ПЭВМ);
запускать на своей рабочей станции (ПЭВМ) или другой рабочей станции сети любые системные или прикладные программы, кроме установленных администратором сети;
изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;
оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации (при наличии), магнитные носители и распечатки, содержащие персональные данные;
допускать к подключенной в сеть рабочей станции (ПЭВМ) посторонних лиц;
производить копирование для временного хранения информации, содержащей персональные данные, на неучтенные носители;
работать на рабочей станции (ПЭВМ) в сети с информацией, содержащей персональные данные, при обнаружении неисправностей станции (ПЭВМ), влияющих на защиту информации;
умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к утечке, блокированию, искажению или утере информации, содержащей персональные данные;
отсылать по электронной почте информацию для решения личных проблем, а также информацию по просьбе третьих лиц без согласования с руководством подразделения;
запрашивать и получать из информационно-коммуникационной сети "Интернет" материалы развлекательного характера (игры, клипы и т.д.);
запрашивать и получать из информационно-коммуникационной сети "Интернет" программные продукты, кроме случаев, связанных со служебной необходимостью. При этом необходимо согласование с руководителем своего подразделения и обеспечение процесса администратором сети.
8.7. Работники не могут использовать в личных целях персональные данные, ставшие известными им вследствие выполнения служебных обязанностей.
9. Порядок обработки персональных данных без использования средств автоматизации:
9.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
9.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
9.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
9.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных (при необходимости получения письменного согласия на обработку персональных данных);
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
9.5. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
9.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
9.7. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных - осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных - уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
9.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
9.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
9.10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
III. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10. Целью обработки персональных данных является:
1) осуществление возложенных на комитет федеральным законодательством, законодательством Ставропольского края и Положением о комитете Ставропольского края по делам архивов, утвержденным постановлением Губернатора Ставропольского края от 04 августа 2006 г. № 502, полномочий и обязанностей по обеспечению проведения на территории Ставропольского края государственной политики и осуществление государственного управления в области архивного дела (далее - установленная сфера деятельности);
2) организация деятельности комитета для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, права на пенсионное обеспечение и медицинское страхование работников.
IV. СОДЕРЖАНИЕ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
11. К персональным данным, обрабатываемым для достижения целей, указанных в подпункте 1 пункта 10 настоящих Правил (осуществление функций, полномочий и обязанностей по решению вопросов установленной сферы деятельности), относятся:
1) анкетные и биографические данные, включая адрес места жительства и проживания;
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовке;
5) сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учебы членов семьи;
6) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
7) сведения об отношении к воинской обязанности;
8) сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;
9) сведения об идентификационном номере налогоплательщика;
10) сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
11) сведения о социальных льготах и о социальном статусе.
12. К персональным данным, обрабатываемым для достижения целей, указанных в подпункте 2 пункта 10 настоящих Правил (организация деятельности комитета для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, права на пенсионное обеспечение и медицинское страхование работников), относятся:
1) анкетные и биографические данные гражданина, включая адрес места жительства и проживания;
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки, включая серию, номер, дату выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, дату начала и завершения обучения;
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовках;
5) сведения о номере, серии, дате выдачи трудовой книжки (вкладыша в нее) и записях в ней, содержание и реквизиты трудового договора (служебного контракта);
6) сведения о составе семьи и наличии иждивенцев;
7) сведения о месте работы или учебы членов семьи;
8) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
9) сведения об отношении к воинской обязанности;
10) сведения о доходах и обязательствах имущественного характера, в том числе членов семьи (в соответствии с частью 6 ст. 8 Федерального закона от 25 декабря 2008 г. № 273-ФЗ "О противодействии коррупции" сведения о доходах, об имуществе и обязательствах имущественного характера, представляемые гражданскими служащими комитета, размещаются в информационно-телекоммуникационной сети "Интернет" на официальном сайте комитета в порядке, утвержденном Указом Президента Российской Федерации от 18 мая 2009 г. № 561);
11) сведения об идентификационном номере налогоплательщика;
12) сведения о социальных льготах и о социальном статусе;
13) сведения из страховых полисов обязательного (добровольного) медицинского страхования;
14) сведения о номере и серии страхового свидетельства государственного пенсионного страхования.
V. КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ
КОТОРЫХ ОБРАБАТЫВАЮТСЯ
13. К субъектам, персональные данные которых обрабатываются, относятся:
1) граждане, обратившиеся в комитет с жалобами, заявлениями и по другим вопросам, касающимся установленной сферы деятельности;
2) граждане, претендующие на замещение должности государственной гражданской службы и должности технического (рабочего) персонала в комитете;
3) граждане, замещающие (замещавшие) должности государственной гражданской службы и должности технического (рабочего) персонала в комитете.
VI. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ОБРАБАТЫВАЕМЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
14. Сроки обработки и хранения персональных данных определяются:
1) приказом Минкультуры Российской Федерации от 25 августа 2010 г. № 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения";
2) сроком исковой давности;
3) иными требованиями законодательства Российской Федерации, нормативными правовыми актами Ставропольского края, нормативными правовыми актами комитета.
15. Особенности хранения персональных данных:
Если срок хранения персональных данных не установлен законодательством Российской Федерации, нормативными правовыми актами Ставропольского края, нормативными правовыми актами комитета или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных.
VII. ПОРЯДОК УНИЧТОЖЕНИЯ ОБРАБОТАННЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
16. Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
17. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
18. Порядок уничтожения обработанных персональных данных:
Уничтожению подлежат утратившие практическое значение и не имеющие исторической или иной ценности носители информации, содержащие персональные данные. При уничтожении таких носителей должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
Уничтожение производится путем сожжения, расплавления, дробления, растворения, химического разложения или превращения в мягкую бесформенную массу или порошок. Допускается уничтожение документов путем измельчения в бумажную сечку. Магнитные и фотографические носители уничтожаются сожжением, дроблением, расплавлением и другими способами, исключающими возможность их восстановления.
Уничтожение обработанных персональных данных производится комиссионно, с составлением соответствующего акта. Состав комиссии назначается приказом председателя комитета сроком на 1 год. В комиссию назначаются лица, допущенные к работе с персональными данными и являющиеся экспертами в различных областях деятельности комитета, имеющие непосредственное отношение к уничтожаемым материалам.
На документальные материалы, отобранные комиссией для уничтожения, составляется акт об уничтожении документов, который подписывается членами комиссии и утверждается председателем комитета.
Отобранные и включенные в акт об уничтожении документальные материалы после их сверки членами комиссии хранятся отдельно от других материалов.
Уничтожение документальных материалов до утверждения акта об уничтожении документов председателем комитета запрещается.
Уничтожение должно производиться в возможно короткий срок после утверждения председателем комитета акта об уничтожении документов.
19. Без оформления акта уничтожаются: испорченные бумажные и технические носители, черновики и проекты документов и другие материалы, образовавшиеся при исполнении документов, содержащих персональные данные.
В процедуру уничтожения документов и носителей информации без составления акта входит проведение следующих мероприятий:
разрывание листов, разрушение магнитного или иного технического носителя в присутствии исполнителя и руководителя подразделения, допущенных к обработке персональных данных;
накапливание остатков носителей в опечатываемом ящике (урне);
физическое уничтожение остатков носителей несколькими сотрудниками подразделения, допущенными к работе с персональными данными;
внесение отметок об уничтожении в учетные формы документов и носителей.
Утверждены
приказом
комитета Ставропольского края
по делам архивов
от 03 апреля 2013 г. № 32
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ КОМИТЕТА
СТАВРОПОЛЬСКОГО КРАЯ ПО ДЕЛАМ АРХИВОВ
1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами комитета Ставропольского края по делам архивов (далее - Правила), устанавливают порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в комитете Ставропольского края по делам архивов (далее - комитет).
2. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в комитете осуществляется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе № 152-ФЗ.
4. Целью осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - внутренний контроль) является обеспечение защиты персональных данных от несанкционированного доступа, неправомерного их использования или утраты, определение порядка и правил осуществления внутреннего контроля.
5. Внутренний контроль делится на текущий, плановый и внеплановый.
6. Текущий внутренний контроль осуществляется на постоянной основе ответственным за организацию обработки персональных данных в комитете (далее - ответственный за организацию обработки) в ходе мероприятий по обработке персональных данных.
Ответственный за организацию обработки имеет право:
запрашивать у работников комитета информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить председателю комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить председателю комитета предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации о персональных данных.
7. Плановый внутренний контроль осуществляется комиссией, образуемой приказом председателя комитета, в состав которой входят работники комитета, допущенные к обработке персональных данных.
Плановый внутренний контроль соответствия обработки персональных данных установленным требованиям в комитете проводится на основании утвержденного председателем комитета плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям, разрабатываемого председателем комиссии. Периодичность плановой проверки - не реже одного раза в год.
8. Внеплановый внутренний контроль может осуществляться на основании поступившего в комитет письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется председателем комиссии в течение 3 рабочих дней с момента поступления соответствующего заявления.
В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в ее результатах.
9. При проведении внутреннего контроля ответственным за организацию обработки или комиссией должны быть полностью, объективно и всесторонне изучены:
наличие, учет, порядок хранения и обезличивания персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учета ПЭВМ и съемных носителей информации, содержащей персональные данные;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
порядок проведения мероприятий и результаты по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
порядок проведения мероприятий по обеспечению целостности персональных данных.
10. В отношении персональных данных, ставших известными членам комиссии или ответственному за организацию обработки в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
11. Срок проведения плановой и внеплановой проверки не может составлять более 30 дней со дня принятия решения о ее проведении.
12. Результаты внутреннего контроля оформляются в виде протокола проведения внутренней проверки (далее - протокол).
13. При выявлении в ходе внутреннего контроля нарушений ответственным за организацию обработки либо председателем комиссии в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.
14. Протоколы хранятся у ответственного за организацию обработки в течение текущего года. Уничтожение протоколов проводится ответственным за организацию обработки самостоятельно в январе года, следующего за проверочным годом.
15. О результатах внутреннего контроля и мерах, необходимых для устранения нарушений, председателю комитета докладывает ответственный за организацию обработки либо председатель комиссии.
Утвержден
приказом
комитета Ставропольского края
по делам архивов
от 03 апреля 2013 г. № 32
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ КОМИТЕТА
СТАВРОПОЛЬСКОГО КРАЯ ПО ДЕЛАМ АРХИВОВ
№ Наименование Класс
п/п
1. Информационная система "Бухгалтерия" К3 специальная
2. Информационная система "Кадры" К3 специальная
3. Информационная система "СЭДД "Дело" К1 специальная
Утверждена
приказом
комитета Ставропольского края
по делам архивов
от 03 апреля 2013 г. № 32
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В КОМИТЕТЕ СТАВРОПОЛЬСКОГО КРАЯ ПО ДЕЛАМ АРХИВОВ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Ответственный за организацию обработки персональных данных в комитете Ставропольского края по делам архивов (далее - ответственный за организацию обработки персональных данных) назначается приказом комитета Ставропольского края по делам архивов.
1.2. Ответственный за организацию обработки персональных данных в своей деятельности руководствуется Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Губернатора Ставропольского края от 04 августа 2006 г. № 502 "Об утверждении Положения о комитете Ставропольского края по делам архивов", настоящей должностной инструкцией.
1.3. Ответственный за организацию обработки персональных данных является уполномоченным на поддержание достигнутого уровня защиты информационных систем персональных данных и ее ресурсов на этапах эксплуатации.
1.4. Ответственный за организацию обработки персональных данных осуществляет методическое руководство работников комитета Ставропольского края по делам архивов (далее - комитет), имеющих доступ к персональным данным, в вопросах обеспечения безопасности персональных данных. Требования ответственного за организацию обработки персональных данных, связанные с выполнением им своих должностных обязанностей, обязательны для исполнения всеми работниками комитета, имеющими доступ к персональным данным.
1.5. Ответственный за организацию обработки персональных данных несет персональную ответственность за качество проводимых им работ по контролю за соблюдением комитетом и его работниками, имеющими доступ к персональным данным, законодательства Российской Федерации, в том числе требований к защите персональных данных, нормативных правовых актов комитета по вопросам обработки персональных данных, состояние и поддержание установленного уровня защиты информационных систем персональных данных.
2. ФУНКЦИИ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Ответственный за организацию обработки персональных данных обязан:
предоставлять субъекту персональных данных либо его представителю по запросу информацию об обработке его персональных данных;
осуществлять внутренний текущий контроль за соблюдением требований законодательства Российской Федерации и Правил обработки персональных данных в комитете при обработке персональных данных, в том числе требований к защите персональных данных;
доводить до сведения работников комитета, имеющих доступ к персональным данным, положения законодательства Российской Федерации о персональных данных, нормативных правовых актов комитета по вопросам обработки персональных данных, требований к защите персональных данных;
организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой их обращений и запросов;
получать обязательство от работников комитета, имеющих доступ к персональным данным, в случае расторжения с ними служебного контракта (трудового договора), о прекращении обработки персональных данных, ставших известными им в связи с исполнением должностных обязанностей;
получать согласие на обработку персональных данных у субъекта персональных данных;
разъяснять субъекту персональных данных юридические последствия отказа предоставления его персональных данных.
2.2. Ответственный за организацию обработки персональных данных имеет право вносить руководству предложения:
о прохождении обучения по защите персональных данных в учебных центрах и курсах повышения квалификации;
о привлечении к ответственности отдельных работников комитета, имеющих доступ к персональным данным, допустивших серьезные нарушения в обеспечении безопасности персональных данных.
Утверждено
приказом
комитета Ставропольского края
по делам архивов
от 03 апреля 2013 г. № 32
ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
работника комитета Ставропольского края по делам архивов,
непосредственно осуществляющего обработку персональных данных,
в случае расторжения с ним служебного контракта
(трудового договора) прекратить обработку персональных данных,
ставших известными ему в связи с исполнением
должностных обязанностей
Я, ____________________________________________________________________
(фамилия, имя, отчество)
___________________________________________________________________________
(должность)
__________________________________________________________________________,
обязуюсь прекратить обработку персональных данных, ставших известными мне в
связи с исполнением должностных обязанностей в комитете Ставропольского
края по делам архивов (далее - комитет), в случае расторжения со мной
служебного контракта (трудового договора), освобождения меня от замещаемой
должности и увольнения.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 года
№ 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные
данные являются конфиденциальной информацией. Я обязан(а) не раскрывать
третьим лицам и не распространять персональные данные, ставшие известными
мне в связи с исполнением должностных обязанностей в комитете, без согласия
субъекта персональных данных.
Ответственность, предусмотренная Федеральным законом от 27 июля 2006
года № 152-ФЗ "О персональных данных" и другими федеральными законами, мне
разъяснена.
____ ______________20__ г. ______________ ___________________________
(дата) (подпись) (расшифровка подписи)
Утверждена
приказом
комитета Ставропольского края
по делам архивов
от 03 апреля 2013 г. № 32
ТИПОВАЯ ФОРМА
согласия на обработку персональных данных в комитете
Ставропольского края по делам архивов иных субъектов
персональных данных
С целью осуществления возложенных на комитет Ставропольского края по
делам архивов (далее - комитет) федеральным законодательством,
законодательством Ставропольского края и Положением о комитете полномочий и
обязанностей по обеспечению проведения на территории Ставропольского края
государственной политики и осуществлением государственного управления в
сфере архивного дела
я, _______________________________________________________________________,
(фамилия, имя, отчество)
зарегистрированный по адресу: ___________________________________________,
паспорт серия _________ номер _________ выдан "____"______________ _____ г.
(дата выдачи)
__________________________________________________________________________,
(наименование органа выдавшего документ)
в соответствии со статьей 9 Федерального закона от 27 июля 2006 года
№ 152-ФЗ "О персональных данных" своей волей, в своем интересе и с целью
решения вопросов сферы деятельности комитета даю согласие
___________________________________________________________________________
(комитету Ставропольского края по делам архивов)
(далее - оператору) на автоматизированную, а также без использования
средств автоматизации обработку моих персональных данных, включая сбор,
запись, систематизацию, накопление, хранение, уточнение (обновление,
изменение), извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование, удаление, уничтожение
персональных данных, а именно:
1) фамилия, имя, отчество;
2) дата рождения;
3) адрес регистрации по месту жительства;
4) адрес фактического проживания;
5) данные документа, удостоверяющего личность субъекта персональных
данных;
6) почтовый адрес;
7) номер телефона, факса, адрес электронной почты;
8) индивидуальный налоговый номер;
9) номер страхового свидетельства обязательного пенсионного
страхования;
10) реквизиты банковского счета;
11) данные о семейном положении;
12) данные на доверенное лицо;
13) сведения о социальных льготах и о социальном статусе.
Если мои персональные данные можно получить только у третьей стороны,
то я должен быть уведомлен об этом заранее с указанием целей,
предполагаемых источников и способов получения персональных данных. На это
должно быть получено мое согласие.
Мне разъяснены мои права и обязанности, связанные с обработкой
персональных данных, в том числе моя обязанность проинформировать оператора
в случае изменения моих персональных данных и мое право в любое время
отозвать свое согласие путем направления соответствующего письменного
заявления оператору.
Согласие вступает в силу со дня его подписания и действует в течение
неопределенного срока до достижения цели обработки персональных данных или
его отзыва мной в письменной форме.
____ ______________20__ г. _______________ ___________________________
(дата) (подпись) (расшифровка подписи)
------------------------------------------------------------------
Введите даты для поиска: