Приказ министерства образования Ставропольского края от 26.04.2013 N 335-пр "О проведении мероприятий по выполнению требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и принятых в соответствии с ним нормативных правовых актов"
МИНИСТЕРСТВО ОБРАЗОВАНИЯ СТАВРОПОЛЬСКОГО КРАЯ
ПРИКАЗ
от 26 апреля 2013 г. № 335-пр
О ПРОВЕДЕНИИ МЕРОПРИЯТИЙ ПО ВЫПОЛНЕНИЮ ТРЕБОВАНИЙ
ФЕДЕРАЛЬНОГО ЗАКОНА ОТ 27 ИЮЛЯ 2006 Г. № 152-ФЗ
"О ПЕРСОНАЛЬНЫХ ДАННЫХ" И ПРИНЯТЫХ В СООТВЕТСТВИИ
С НИМ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ
Список изменяющих документов
(в ред. приказа минобразования Ставропольского края
от 06.05.2014 № 406-пр)
В целях реализации требований Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и постановлений Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами" приказываю:
1. Утвердить:
1.1. Правила обработки персональных данных в министерстве образования и молодежной политики Ставропольского края (приложение 1).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
1.2. Правила рассмотрения запросов субъектов персональных данных или их представителей министерством образования и молодежной политики Ставропольского края (приложение 2).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
1.3. Правила работы с обезличенными данными в министерстве образования и молодежной политики Ставропольского края (приложение 3).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
1.4. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами министерства образования и молодежной политики Ставропольского края (приложение 4).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
1.5. Порядок доступа служащих министерства образования и молодежной политики Ставропольского края в помещения, в которых ведется обработка персональных данных (приложение 5).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
1.6. Инструкцию по организации парольной защиты в министерстве образования и молодежной политики Ставропольского края (приложение 6).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
1.7. Типовую форму разъяснения субъекту персональных данных юридических последствий отказа представить свои персональные данные (приложение 7).
1.8. Типовую форму согласия на обработку персональных данных в министерстве образования и молодежной политики Ставропольского края иных субъектов персональных данных (приложение 8).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
1.9. Типовое обязательство работника министерства образования и молодежной политики Ставропольского края, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (приложение 9).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
1.10. Перечень информационных систем персональных данных (приложение 10).
------------------------------------------------------------------
В соответствии с приказом минобразования Ставропольского края от 06.05.2014 № 406-пр наименование приложения 11 после слова "образования" дополнено словами "и молодежной политики".
------------------------------------------------------------------
1.11. Перечень должностей государственных гражданских служащих и работников министерства образования и молодежной политики Ставропольского края, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (приложение 11).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
------------------------------------------------------------------
В соответствии с приказом минобразования Ставропольского края от 06.05.2014 № 406-пр наименование приложения 12 после слова "образования" дополнено словами "и молодежной политики".
------------------------------------------------------------------
1.12. Перечень должностей государственных гражданских служащих и работников министерства образования и молодежной политики Ставропольского края, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение 12).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
------------------------------------------------------------------
В соответствии с приказом минобразования Ставропольского края от 06.05.2014 № 406-пр наименование приложения 13 после слова "образования" дополнено словами "и молодежной политики".
------------------------------------------------------------------
1.13. Перечень программного обеспечения, разрешенного к использованию в министерстве образования и молодежной политики Ставропольского края (приложение 13).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
1.14. Перечни персональных данных, обрабатываемых в министерстве образования и молодежной политики Ставропольского края в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций (приложение 14).
(п. 1.14 введен приказом минобразования Ставропольского края от 06.05.2014 № 406-пр)
1.15. Должностная инструкция ответственного за организацию обработки персональных данных в министерстве образования и молодежной политики Ставропольского края (приложение 15).
(п. 1.15 введен приказом минобразования Ставропольского края от 06.05.2014 № 406-пр)
2. Сотрудникам сектора программно-информационного обеспечения довести настоящий приказ до сведения сотрудников в части, их касающейся.
3. Контроль за исполнением настоящего приказа возложить на первого заместителя министра образования и молодежной политики Ставропольского края Лаврову Н.А.
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
4. Настоящий приказ вступает в силу со дня его подписания.
Министр
В.П.СОЛОНИНА
Приложение 1
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ
ОБРАЗОВАНИЯ И МОЛОДЕЖНОЙ ПОЛИТИКИ СТАВРОПОЛЬСКОГО КРАЯ
Список изменяющих документов
(в ред. приказа минобразования Ставропольского края
от 06.05.2014 № 406-пр)
I. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящие Правила обработки персональных данных в министерстве образования и молодежной политики Ставропольского края (далее - Правила) устанавливают единый порядок обработки персональных данных в министерстве образования и молодежной политики Ставропольского края (далее - министерство).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
2. Обработка персональных данных в министерстве осуществляется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе № 152-ФЗ.
4. Целью настоящих Правил является обеспечение защиты персональных данных граждан от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5. Настоящие Правила устанавливают и определяют:
1) процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
2) цели обработки персональных данных;
3) содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) сроки обработки и хранения обрабатываемых персональных данных;
6) порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований.
6. Основные условия обработки персональных данных:
6.1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:
после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных пунктами 2 - 7, 9 - 11 части 1 статьи 6 Федерального закона № 152-ФЗ;
после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ставропольскому краю, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона № 152-ФЗ.
6.2. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации в порядке, установленном в министерстве.
II. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ
И ПРЕДОТВРАЩЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА
В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации:
7.1. Информационные ресурсы, содержащие персональные данные, созданные, приобретенные, накопленные в министерстве, а также полученные путем иных установленных законом способов, являются собственностью министерства и не могут быть использованы иначе, как с разрешения министра или в установленных законом случаях.
7.2. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, относятся:
назначение ответственного за организацию обработки персональных данных в министерстве;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона № 152-ФЗ;
осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами;
запрет на обработку персональных данных лицами, не допущенными к их обработке;
запрет на обработку персональных данных под диктовку.
7.3. Документы, определяющие политику в отношении обработки персональных данных, подлежат обязательному опубликованию на официальном сайте министерства в течение 10 дней после их утверждения.
7.4. За разглашение информации, содержащей персональные данные, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение режима защиты, обработки и порядка использования этой информации работник министерства может быть привлечен к дисциплинарной или иной ответственности, предусмотренной действующим законодательством.
8. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации:
8.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации министерства осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
8.2. При эксплуатации автоматизированных информационных систем необходимо соблюдать следующие требования:
к работе допускаются только лица, назначенные соответствующим распоряжением;
на персональных электронных вычислительных машинах (далее - ПЭВМ), дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
на период обработки защищаемой информации в помещении могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации;
допуск других лиц в указанный период может осуществляться с разрешения министра или его заместителя, отвечающего за защиту информации в министерстве.
8.3. Руководители подразделений министерства, работники министерства, осуществляющие обработку персональных данных (далее - пользователи), обязаны контролировать и выполнять предусмотренные в министерстве меры по защите информации, содержащей персональные данные.
8.4. Руководители подразделений министерства обязаны:
участвовать в подготовке перечня персональных данных, обрабатываемых на ПЭВМ подразделения;
готовить к утверждению списки работников, которых по своим должностным обязанностям необходимо допустить к работе с персональными данными в информационной системе министерства;
контролировать целевое использование работниками ресурсов информационно-телекоммуникационной сети "Интернет";
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
контролировать выполнение пользователями общих правил работы на ПЭВМ и в локальной вычислительной сети министерства (далее - ЛВС);
выборочно контролировать характер исходящей информации, направляемой пользователями по электронной почте другим адресатам, и принимать оперативные меры к соблюдению ими установленных требований по защите персональных данных;
при обнаружении нарушений установленных требований по защите персональных данных, в результате которых вскрыты факты их разглашения, прекратить работы на рабочем месте, где обнаружены нарушения, доложить министру и поставить в известность заведующего сектором по защите информации;
назначать служебные расследования по фактам разглашения информации, содержащей персональные данные, или утери документов, содержащих такую информацию, по фактам нарушений пользователями правил, установленных для работы с персональными данными в ЛВС, а также нарушений требований по защите информации;
обеспечивать условия для работы представителя сектора по защите информации при проверке в подразделении эффективности предусмотренных мер защиты информации;
определять порядок передачи информации, содержащей персональные данные, другим подразделениям министерства, сторонним организациям и органам.
8.5. При приеме на работу работник предупреждается об ответственности за разглашение сведений, содержащих персональные данные, которые станут ему известными в связи с предстоящим выполнением своих служебных обязанностей.
8.6. Пользователь обязан:
знать правила работы в ЛВС и принятые меры по защите ресурсов ЛВС (в части, его касающейся);
при работе на своей рабочей станции (ПЭВМ) и в ЛВС выполнять только служебные задания;
перед началом работы на ПЭВМ проверить свои рабочие папки на жестком магнитном диске, съемные магнитные носители информации на отсутствие вирусов с помощью штатных средств антивирусной защиты, убедиться в исправности своей рабочей станции;
при сообщениях тестовых программ о появлении вирусов немедленно прекратить работу, доложить администратору сети и своему непосредственному начальнику;
при обработке информации, содержащей персональные данные, использовать только зарегистрированные в журналах учета министерства машинные носители информации (далее - МНИ);
при необходимости использования магнитных носителей, поступивших из других подразделений, учреждений, предприятий и организаций, прежде всего, провести проверку этих носителей на отсутствие вирусов;
выполнять предписания администратора сети и ответственного за защиту информации в министерстве (работников сектора по защите информации);
представлять для контроля свою рабочую станцию (ПЭВМ) руководителю подразделения, администратору сети и специалисту сектора по защите информации;
сохранять в тайне свой индивидуальный пароль, периодически, но не реже чем один раз в полгода изменять его и не сообщать другим лицам;
вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;
учет, размножение, обращение печатных материалов, содержащих персональные данные, проводить в соответствии с требованиями Инструкции по делопроизводству в аппарате Правительства Ставропольского края, утвержденной приказом руководителя аппарата Правительства Ставропольского края от 22 января 2001 года № 8;
при обнаружении различных неисправностей в работе компьютерной техники или ЛВС, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек, печатей), несоответствия номеров на аппаратных средствах сообщить в сектор по защите информации, администратору сети и поставить в известность руководителя подразделения.
Пользователю при работе запрещается:
играть в компьютерные игры;
приносить различные компьютерные программы и пытаться установить их на локальный диск компьютера без уведомления специалистов сектора по защите информации и администратора сети;
перенастраивать программное обеспечение компьютера;
самостоятельно вскрывать комплектующие рабочей станции (ПЭВМ);
запускать на своей рабочей станции (ПЭВМ) или другой рабочей станции сети любые системные или прикладные программы, кроме установленных специалистами сектора по защите информации или администратором сети;
изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;
оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации (при наличии), магнитные носители и распечатки, содержащие персональные данные;
допускать к подключенной в сеть рабочей станции (ПЭВМ) посторонних лиц;
производить копирование для временного хранения информации, содержащей персональные данные, на неучтенные носители;
работать на рабочей станции (ПЭВМ) в сети с информацией, содержащей персональные данные, при обнаружении неисправностей станции (ПЭВМ), влияющих на защиту информации;
умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к утечке, блокированию, искажению или утере информации, содержащей персональные данные;
отсылать по электронной почте информацию для решения личных проблем, а также информацию по просьбе третьих лиц без согласования с руководством подразделения;
запрашивать и получать из информационно-телекоммуникационной сети "Интернет" материалы развлекательного характера (игры, клипы и т.д.);
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
запрашивать и получать из информационно-телекоммуникационной сети "Интернет" программные продукты, кроме случаев, связанных со служебной необходимостью. При этом необходимо согласование с руководителем своего подразделения и обеспечение процесса техническими специалистами сектора по защите информации и администратором сети.
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
8.7. Работники не могут использовать в личных целях персональные данные, ставшие известными им вследствие выполнения служебных обязанностей.
9. Порядок обработки персональных данных без использования средств автоматизации:
9.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
9.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
9.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
9.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных (при необходимости получения письменного согласия на обработку персональных данных);
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
9.5. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
9.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
9.7. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
9.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
9.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
9.10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
III. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10. Целью обработки персональных данных является:
1) осуществление возложенных на министерство федеральным законодательством, законодательством Ставропольского края и Положением о министерстве;
2) организация деятельности министерства для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, права на пенсионное обеспечение и медицинское страхование работников.
IV. СОДЕРЖАНИЕ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
11. К персональным данным, обрабатываемым для достижения целей, указанных в подпункте 1 пункта 10 настоящих Правил (осуществление функций, полномочий и обязанностей по решению вопросов установленной сферы деятельности), относятся:
1) анкетные и биографические данные, включая адрес места жительства и проживания;
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовки;
5) сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учебы членов семьи;
6) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
7) сведения об отношении к воинской обязанности;
8) сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;
9) сведений об идентификационном номере налогоплательщика;
10) сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
11) сведения о социальных льготах и о социальном статусе.
12. К персональным данным, обрабатываемым для достижения целей, указанных в подпункте 2 пункта 10 настоящих Правил (организация деятельности министерства для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, права на пенсионное обеспечение и медицинское страхование работников), относятся:
1) анкетные и биографические данные гражданина, включая адрес места жительства и проживания;
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство (включая серию, номер, дату выдачи, наименование органа, выдавшего документ);
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (включая серию, номер, дату выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, дату начала и завершения обучения);
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовках;
5) сведения о номере, серии, дате выдачи трудовой книжки (вкладыша в нее) и записях в ней, содержание и реквизиты трудового договора (контракта);
6) сведения о составе семьи и наличии иждивенцев;
7) сведения о месте работы или учебы членов семьи;
8) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
9) сведения об отношении к воинской обязанности;
10) сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;
11) сведения об идентификационном номере налогоплательщика;
12) сведения о социальных льготах и о социальном статусе;
13) сведения из страховых полисов обязательного (добровольного) медицинского страхования;
14) сведения о номере и серии страхового свидетельства государственного пенсионного страхования.
V. КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ
КОТОРЫХ ОБРАБАТЫВАЮТСЯ
13. К субъектам, персональные данные которых обрабатываются, относятся:
1) граждане, обратившиеся в министерство с жалобами, заявлениями и по другим вопросам, касающимся установленной сферы деятельности;
2) граждане, претендующие на замещение должности государственной гражданской службы и должности технического (рабочего) персонала в министерстве;
3) граждане, замещающие (замещавшие) должности государственной гражданской службы и должности технического (рабочего) персонала в министерстве.
VI. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ОБРАБАТЫВАЕМЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
14. Сроки обработки и хранения персональных данных определяются:
1) Приказом Минкультуры Российской Федерации от 25 августа 2010 г. № 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения;
2) сроком исковой давности;
3) иными требованиями законодательства Российской Федерации, нормативными правовыми актами Ставропольского края, нормативными правовыми актами министерства.
15. Особенности хранения персональных данных.
Если срок хранения персональных данных не установлен законодательством Российской Федерации, нормативными правовыми актами Ставропольского края, нормативными правовыми актами министерства или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
VII. ПОРЯДОК УНИЧТОЖЕНИЯ ОБРАБОТАННЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
16. Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
17. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
18. Порядок уничтожения обработанных персональных данных.
Уничтожению подлежат утратившие практическое значение и не имеющие исторической или иной ценности носители информации, содержащие персональные данные. При уничтожении таких носителей должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
Уничтожение производится путем сожжения, расплавления, дробления, растворения, химического разложения или превращения в мягкую бесформенную массу или порошок. Допускается уничтожение документов путем измельчения в бумажную сечку. Магнитные и фотографические носители уничтожаются сожжением, дроблением, расплавлением и другими способами, исключающими возможность их восстановления.
Уничтожение обработанных персональных данных производится комиссионно, с составлением соответствующего акта. Состав комиссии назначается приказом министра сроком на 1 год. В комиссию назначаются лица, допущенные к работе с персональными данными и являющиеся экспертами в различных областях деятельности министерства, имеющие непосредственное отношение к уничтожаемым материалам.
На документальные материалы, отобранные комиссией для уничтожения, составляется акт об уничтожении документов, который подписывается членами комиссии и утверждается министром.
Отобранные и включенные в акт об уничтожении документальные материалы после их сверки членами комиссии хранятся отдельно от других материалов.
Уничтожение документальных материалов до утверждения акта об уничтожении документов министром запрещается.
Уничтожение должно производиться в возможно короткий срок после утверждения министром акта об уничтожении документов.
19. Без оформления акта уничтожаются: испорченные бумажные и технические носители, черновики и проекты документов и другие материалы, образовавшиеся при исполнении документов, содержащих персональные данные.
В процедуру уничтожения документов и носителей информации без составления акта входит проведение следующих мероприятий:
разрывание листов, разрушение магнитного или иного технического носителя в присутствии исполнителя и руководителя подразделения, допущенных к обработке персональных данных;
накапливание остатков носителей в опечатываемом ящике (урне);
физическое уничтожение остатков носителей несколькими сотрудниками подразделения, допущенными к работе с персональными данными;
внесение отметок об уничтожении в учетные формы документов и носителей.
Приложение 2
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ МИНИСТЕРСТВОМ ОБРАЗОВАНИЯ
И МОЛОДЕЖНОЙ ПОЛИТИКИ СТАВРОПОЛЬСКОГО КРАЯ
I. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей министерством образования и молодежной политики Ставропольского края (далее - Правила) устанавливают единый порядок рассмотрения запросов субъектов персональных данных или их представителей в министерстве образования и молодежной политики Ставропольского края (далее - министерство).
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
2. Рассмотрение запросов субъектов персональных данных или их представителей в министерстве осуществляется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе № 152-ФЗ.
4. Целью настоящих Правил является реализация прав субъекта персональных данных на получение информации, касающейся обработки его персональных данных в министерстве.
5. К субъектам, персональные данные которых обрабатываются, относятся:
граждане, обратившиеся в министерство с жалобами, заявлениями и по другим вопросам, касающимся установленной сферы деятельности;
граждане, претендующие на замещение должности государственной службы и должности технического (рабочего) персонала в министерстве;
граждане, замещающие (замещавшие) должности государственной службы и должности технического (рабочего) персонала в министерстве.
II. Права субъекта персональных данных
6. Право субъекта персональных данных на доступ к его персональным данным:
6.1. Субъект персональных данных имеет право на получение сведений, указанных в пункте 6.7, за исключением случаев, предусмотренных пунктом 6.8. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.2. Сведения, указанные в пункте 6.7, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.3. Сведения, указанные в пункте 6.7, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. В запросе указываются сведения о субъекте персональных данных или его представителе в соответствии с пунктом 9.
6.4. В случае если сведения, указанные в пункте 6.7, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 6.7, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 6.7, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 6.4, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 9, должен содержать обоснование направления повторного запроса.
6.6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 6.4 и 6.5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
6.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
6.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7. Право на обжалование действий или бездействия оператора.
7.1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
III. Порядок предоставления оператором сведений
по запросу субъекта персональных данных
8. При обращении либо при получении запроса субъекта персональных данных или его представителя, сведения должны быть предоставлены в доступной форме. Запрос регистрируется в день поступления по правилам делопроизводства.
9. Запрос субъекта персональных данных должен содержать сведения, позволяющие провести его идентификацию:
фамилию, имя, отчество субъекта персональных данных и его представителя;
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10. Оператор при получении запроса субъекта персональных данных или его представителя обязан сообщить в порядке статьи 14 Федерального закона № 152-ФЗ субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение 30 (тридцати) дней с даты получения запроса.
В случае отказа в предоставлении информации о наличии персональных данных оператор обязан дать в письменной форме мотивированный ответ со ссылкой на действующее законодательство, являющееся основанием для такого отказа. Отказ в предоставлении информации направляется в срок, не превышающий 30 (тридцать) дней со дня получения запроса субъекта персональных данных.
11. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор в срок, не превышающий 7 (семь) рабочих дней, вносит в них необходимые изменения. О внесенных изменениях уведомляется субъект персональных данных или его представитель.
12. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные в срок, не превышающий 7 (семь) рабочих дней. Об уничтоженных персональных данных уведомляется субъект персональных данных или его представитель.
13. Возможность ознакомления с персональными данными предоставляется на безвозмездной основе лицом, ответственным за обработку персональных данных.
Приложение 3
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ В МИНИСТЕРСТВЕ
ОБРАЗОВАНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Настоящие Правила работы с обезличенными данными в министерстве образования Ставропольского края (далее - Правила) устанавливают порядок проведения мероприятий в министерстве образования Ставропольского края (далее - министерство) по обезличиванию персональных данных, порядок и условия работы с обезличенными данными.
2. Обезличивание персональных данных и работа с обезличенными данными в министерстве осуществляется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), постановлением Правительства РФ от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе № 152-ФЗ.
4. Целью обезличивания персональных данных в министерстве является обеспечение защиты персональных данных граждан от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5. Обезличивание персональных данных может быть проведено для решения следующих задач: получения статистических данных снижения ущерба от разглашения защищаемых персональных данных, снижения класса используемых информационных систем персональных данных.
Кроме того, обезличивание персональных данных может быть проведено по достижении сроков обработки или в случае утраты необходимости в достижении целей обработки, если иное не предусмотрено законодательством Российской Федерации.
5.1. В случае достижения целей обработки персональных данных или в случае утраты необходимости в их достижении, сотрудник министерства, обрабатывающий персональные данные, обязан:
- незамедлительно прекратить обработку персональных данных;
- обезличить соответствующие персональные данные в срок, не превышающий 30 дней с даты достижения целей обработки персональных данных или утраты необходимости достижения этих целей.
5.2. Персональные данные не обезличиваются в случаях, если:
- договором (соглашением), стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, предусмотрен иной порядок обработки персональных данных;
- законодательством установлены сроки обязательного архивного хранения материальных носителей персональных данных;
- в иных случаях, прямо предусмотренных законодательством.
5.3. В случае выявления недостоверности персональных данных, неправомерности действий с персональными данными сотрудник министерства, обрабатывающий персональные данные, обязан осуществить незамедлительное блокирование указанных персональных данных и в срок, не превышающий 3 рабочих дней с даты такого выявления, устранить допущенные нарушения.
В случае подтверждения факта недостоверности персональных данных сотрудник министерства, обрабатывающий персональные данные, уточняет персональные данные и снимает с них блокирование на основании документов, представленных:
- субъектом персональных данных (его законным представителем);
уполномоченным органом по защите прав субъектов персональных данных;
- иными лицами.
5.4. В случае невозможности устранения допущенных нарушений сотрудник министерства, обрабатывающий персональные данные, в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с персональными данными, обезличивает персональные данные.
Об устранении допущенных нарушений или об обезличивании персональных данных сотрудник министерства, обрабатывающий персональные данные, уведомляет субъекта персональных данных (его законного представителя) по форме уведомления об устранении допущенных нарушений или уведомления об уничтожении (Приложение № 1, 2) и (или) уполномоченный орган по защите прав субъектов персональных данных по форме уведомления об устранении допущенных нарушений или уведомления об уничтожении (Приложение № 3, 4) (приложение 4 - не приводится).
5.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных сотрудник министерства, обрабатывающий персональные данные, обязан прекратить обработку персональных данных и обезличить их в срок, не превышающий 30 рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством, договором или соглашением между министерством и субъектом персональных данных. Об обезличивании персональных данных сотрудник министерства, обрабатывающий персональные данные, уведомляет субъекта персональных данных (его законного представителя).
6. Способы обезличивания:
6.1. К способам обезличивания персональных данных при условии дальнейшей обработки персональных данных относятся:
- уменьшение перечня обрабатываемых сведений, замена части сведений условными обозначениями, обобщение (понижение) точности некоторых сведений; деление сведений на части и обработка их в разных информационных системах,
- другие способы.
6.2. К способам обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей относятся:
- сокращение перечня персональных данных;
- уничтожение персональных данных.
6.3. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе (закрашиванием, вырезанием и т.д.).
7. Правила работы с обезличенными данными:
7.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
7.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
7.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо:
- использование паролей;
- использование антивирусных программ;
- соблюдение правил доступа в помещения, в которых ведется обработка персональных данных;
7.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- хранения бумажных носителей в условиях, исключающих доступ к ним посторонних лиц;
- соблюдение правил доступа в помещения, в которых ведется обработка персональных данных.
Приложение № 1
к Правилам
работы с обезличенными данными
в министерстве образования
Ставропольского края
Уведомление об устранении допущенных нарушений
Уважаемый(ая) __________________________________________,
(Ф.И.О.)
в связи с _________________________________________________________________
сообщаем Вам, что все допущенные нарушения при обработке Ваших персональных
данных устранены.
___________________________ ________________________ __________________
(должность) (подпись) (Ф.И.О.)
"____" __________________ 20__ г.
Приложение № 2
к Правилам
работы с обезличенными данными
в министерстве образования
Ставропольского края
Уведомление об уничтожении
Уважаемый(ая) ________________________________________________________,
(Ф.И.О.)
в связи с ___________________________________________________ сообщаем Вам,
что ваши персональные данные ______________________________________________
(указать персональные данные)
уничтожены.
___________________________ ________________________ __________________
(должность) (подпись) (Ф.И.О.)
"____" __________________ 20__ г.
Приложение № 3
к Правилам
работы с обезличенными данными
в министерстве образования
Ставропольского края
В _________________________________
(указать уполномоченный орган)
Уведомление об устранении допущенных нарушений
Настоящим уведомлением сообщаем Вам, что допущенные нарушения при
обработке персональных данных, а именно ___________________________________
указать допущенные нарушения
___________________________________________________________________________
устранены.
___________________________ ________________________ __________________
(должность) (подпись) (Ф.И.О.)
"____" __________________ 20__ г.
Приложение 4
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ МИНИСТЕРСТВА
ОБРАЗОВАНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами министерства образования Ставропольского края (далее - Правила) устанавливают порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве образования Ставропольского края (далее - министерство).
2. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), постановлением Правительства РФ от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", настоящими Правилами и другими нормативными правовыми актами, касающимися обработки персональных данных.
3. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе № 152-ФЗ.
4. Целью осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - внутренний контроль) является обеспечение защиты персональных данных от несанкционированного доступа, неправомерного их использования или утраты, определение порядка и правил осуществления внутреннего контроля.
5. Внутренний контроль делится на текущий, плановый и внеплановый.
6. Текущий внутренний контроль осуществляется на постоянной основе ответственным за организацию обработки персональных данных в министерстве (далее - ответственный за организацию обработки) в ходе мероприятий по обработке персональных данных.
Ответственный за организацию обработки имеет право:
запрашивать у сотрудников министерства информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить министру предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить министру предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации о персональных данных.
7. Плановый внутренний контроль осуществляется комиссией, образуемой приказом министра, в состав которой входят работники министерства, допущенные к обработке персональных данных.
Плановый внутренний контроль соответствия обработки персональных данных установленным требованиям в министерстве проводится на основании утвержденного министром плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям, разрабатываемого председателем комиссии. Периодичность плановой проверки - не реже одного раза в год.
8. Внеплановый внутренний контроль может осуществляться на основании поступившего в министерство письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется председателем комиссии в течение 3 рабочих дней с момента поступления соответствующего заявления.
В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в ее результатах.
9. При проведении внутреннего контроля ответственным за организацию обработки или комиссией должны быть полностью, объективно и всесторонне изучены:
наличие, учет, порядок хранения и обезличивания персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учета ПЭВМ и съемных носителей информации, содержащей персональные данные;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
порядок проведения мероприятий и результаты по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
порядок проведения мероприятий по обеспечению целостности персональных данных.
10. В отношении персональных данных, ставших известными членам комиссии или ответственному за организацию обработки в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
11. Срок проведения плановой и внеплановой проверки не может составлять более 30 дней со дня принятия решения о ее проведении.
12. Результаты внутреннего контроля оформляются в виде протокола проведения внутренней проверки (далее - протокол).
13. При выявлении в ходе внутреннего контроля нарушений ответственным за организацию обработки либо председателем комиссии в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.
14. Протоколы хранятся у ответственного за организацию обработки в течение текущего года. Уничтожение протоколов проводится ответственным за организацию обработки самостоятельно в январе года, следующего за проверочным годом.
15. О результатах внутреннего контроля и мерах, необходимых для устранения нарушений, министру докладывает ответственный за организацию обработки либо председатель комиссии.
Приложение 5
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ПОРЯДОК
ДОСТУПА СЛУЖАЩИХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ
И МОЛОДЕЖНОЙ ПОЛИТИКИ СТАВРОПОЛЬСКОГО КРАЯ В ПОМЕЩЕНИЯ,
В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
Список изменяющих документов
(в ред. приказа минобразования Ставропольского края
от 06.05.2014 № 406-пр)
Настоящий Порядок доступа служащих министерства образования и молодежной политики Ставропольского края в помещения, в которых ведется обработка персональных данных (далее - Порядок), разработан в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
Целью настоящего Порядка является исключение несанкционированного доступа к персональным данным, обрабатываемым в министерстве образования и молодежной политики Ставропольского края (далее - министерство), лиц, не допущенных к обработке персональных данных в министерстве.
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
Персональные данные относятся к конфиденциальной информации. Служащие министерства, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных достигается, в том числе, установлением правил доступа в помещения, где обрабатываются персональные данные с использованием и без использования средств автоматизации.
Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. При хранении материальных носителей персональных данных, в том числе на бумажном носителе, должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только служащие министерства, допущенные к работе с ними.
Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не являющихся служащими министерства, или служащих министерства, не допущенных к обработке персональных данных, возможно только в присутствии служащих министерства, обрабатывающих в данном помещении персональные данные или допущенных к этим персональным данным. Время нахождения в помещениях ограничивается временем решения служебного вопроса, в рамках которого возникла необходимость пребывания в помещении. Все сотрудники, постоянно работающие в помещении, должны быть допущены к работе с соответствующими видами персональных данных.
Служащие министерства, допущенные к работе с персональными данными, не должны покидать помещение, не убедившись, что доступ посторонних лиц к персональным данным невозможен. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении.
Ответственные за организацию доступа в помещения министерства, в которых ведется обработка персональных данных, назначаются приказом.
Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится в порядке, определенном Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами министерства.
После окончания рабочего дня дверь каждого помещения, в котором ведется обработка персональных данных, закрывается на ключ и опечатывается. Ключи в опечатанных тубусах сдаются дежурному охраннику.
В служебных помещениях, занимаемых министерством, применяются организационные, технические и физические меры, направленные для защиты от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.
К указанным мерам относятся:
физические меры защиты: установка дверей, снабженных замками, сейфов, решеток, штор или жалюзи на окнах, расположение мониторов, уничтожение носителей, содержащих персональные данные, и т.д.;
технические меры защиты: применение антивирусных программ, программ защиты, установление паролей на персональных компьютерах, применение съемных носителей информации и т.д.;
организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты, допуск к обработке персональных данных только специально назначенных людей и т.д.
Приложение 6
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ИНСТРУКЦИЯ
ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ В МИНИСТЕРСТВЕ
ОБРАЗОВАНИЯ И МОЛОДЕЖНОЙ ПОЛИТИКИ СТАВРОПОЛЬСКОГО КРАЯ
Список изменяющих документов
(в ред. приказа минобразования Ставропольского края
от 06.05.2014 № 406-пр)
1.1. Первичный пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), устанавливаемые системным администратором при создании новой учетной записи.
1.1.1. Установку первичного пароля производит системный администратор при создании новой учетной записи. Ответственность за сохранность первичного пароля лежит на системном администраторе.
1.1.2. Первичный пароль может содержать несложную комбинацию символов либо повторяющиеся символы.
1.1.3. При создании первичного пароля системный администратор обязан установить опцию, требующую смену пароля при первом входе в систему, а также уведомить владельца учетной записи о необходимости произвести смену пароля.
1.1.4. Первичный пароль также используется при сбросе забытого пароля на учетную запись. В любом случае, при использовании первичного пароля все требования настоящего документа сохраняются.
1.2. Основной пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная только сотруднику организации, используемая для подтверждения подлинности владельца учетной записи.
1.2.1. Установку основного пароля производит пользователь при первом входе в систему с новой учетной записью.
1.2.2. При выборе пароля необходимо руководствоваться "Требованиями к паролям" (Приложение 1).
1.2.3. Пользователь несет персональную ответственность за сохранение в тайне основного пароля. Запрещается сообщать пароль другим лицам, в том числе сотрудникам ИТ отдела, записывать его, а также пересылать открытым текстом в электронных сообщениях.
1.2.4. Пользователь обязан не реже одного раза в месяц производить смену основного пароля, соблюдая требования настоящего документа.
1.2.5. В случае компрометации пароля (либо подозрении на компрометацию) необходимо немедленно сообщить об этом в Отдел системной и технической поддержки и изменить основной пароль.
1.2.6. Восстановление забытого основного пароля пользователя осуществляется системным администратором путем изменения (сброса) основного пароля пользователя на первичный пароль на основании письменной либо электронной заявки пользователя.
1.2.7. Устная заявка пользователя на изменение пароля не является основанием для проведения таких изменений.
1.2.8. Для предотвращения угадывания паролей системный администратор обязан настроить механизм блокировки учетной записи при трехкратном неправильном вводе пароля.
1.2.9. Разблокирование учетной записи пользователя осуществляется системным администратором на основании заявки владельца учетной записи (возможен вариант автоматического разблокирования через продолжительный промежуток времени).
1.3. Административный пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная системному администратору (администратору БД, администратору приложения), используемая при настройке служебных учетных записей, учетных записей служб и сервисов, а также специальных учетных записей.
1.3.1. При выборе административного пароля необходимо руководствоваться "Требованиями к паролям" (Приложение № 1).
1.3.2. Системный администратор несет персональную ответственность за сохранение в тайне административного пароля. Запрещается сообщать пароль другим лицам, в том числе сотрудникам министерства, записывать его, а также пересылать открытым текстом в электронных сообщениях.
1.3.3. Системный администратор обязан не реже одного раза в месяц производить смену административного пароля, соблюдая требования настоящего документа.
1.3.4. В случае компрометации пароля (либо подозрении на компрометацию) необходимо немедленно сообщить об этом начальнику Отдела системной и технической поддержки и Департамент защиты информации и изменить административный пароль.
1.3.5. Копии административных паролей должны храниться в опечатанном конверте в Департаменте защиты информации.
Приложение № 1
ТРЕБОВАНИЯ
К ПАРОЛЯМ
Пароли НЕ ДОЛЖНЫ состоять из:
- Вашего имени, отчества или фамилии ни в каком виде (т.е. написаны в строчном, в прописном, в смешанном виде, задом наперед, два раза и т.д.);
- Вашего идентификатора входа (login) ни в каком виде;
- имен Вашей(его) супруги(а) или детей;
- не используйте какую-либо информацию о себе. Сюда входят: номера телефонов, номера в пропусках и других документах, номер или марка вашего автомобиля, Ваш почтовый адрес и т.д. и т.п.;
- только цифр или одинаковых букв;
- слов, которые можно найти в словаре (любом, включая иностранные) или в каком-либо списке слов;
- меньше чем шести символов.
Пароли ДОЛЖНЫ:
- содержать строчные и прописные буквы;
- содержать небуквенные символы (т.е. цифры, знаки пунктуации, специальные символы);
- быть легко запоминаемы, чтобы не было необходимости записывать их;
- быть составлены так, чтобы Вы могли быстро набрать их на клавиатуре. Это осложнит возможность подглядеть пароль.
Несмотря на такие жесткие требования, есть несколько способов выбора паролей, которые все же соответствуют этим правилам:
- выберите предложение из песни или стихотворения и отберите только первые буквы каждого слова (хотя в примере использовано английское предложение, Вы можете воспользоваться и другими языками)
Pretty woman walking down the street становится Pwwdts.
- Выберите два коротких слова и соедините их с помощью пунктуационных знаков и спецсимволов:
Dog+rain, kid
Приложение 7
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
Список изменяющих документов
(в ред. приказа минобразования Ставропольского края
от 06.05.2014 № 406-пр)
ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических
последствий отказа представить свои персональные данные
Мне, _________________________________________________________________,
(фамилия, имя, отчество)
разъяснены юридические последствия отказа представить свои персональные
данные ___________________________________________________________________.
(министерству энергетики, промышленности и связи Ставропольского края)
В соответствии с Постановлением Правительства Российской Федерации
от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на
обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О
персональных данных" и принятыми в соответствии с ним нормативными
правовыми актами, операторами, являющимися государственными или
муниципальными органами" и "Правилами обработки персональных данных в
министерстве образования и молодежной политики Ставропольского края",
определен перечень персональных данных, которые субъект персональных данных
обязан представить в связи с ______________________________________________
___________________________________________________________________________
___________________________________________________________________________
(решением вопросов в сфере деятельности, оказанием государственной
услуги, реализацией права на труд, права на пенсионное обеспечение,
права на медицинское страхование работников)
Я предупрежден, что в случае отказа представить свои персональные
данные (далее нужное подчеркнуть),
министерством образования и молодежной политики Ставропольского края
при решении вопросов в сфере деятельности мои права могут быть реализованы
не в полном объеме;
мои права на труд, на пенсионное обеспечение и медицинское страхование
не могут быть реализованы в полном объеме, а трудовой договор (контракт)
подлежит расторжению.
"___" ____________________ 20__ г. ______________/_____________________
(дата) (подпись) (расшифровка подписи)
Приложение 8
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
Список изменяющих документов
(в ред. приказа минобразования Ставропольского края
от 06.05.2014 № 406-пр)
ТИПОВАЯ ФОРМА
согласия на обработку персональных данных в министерстве
образования и молодежной политики Ставропольского края
иных субъектов персональных данных
С целью осуществления возложенных на министерство образования и
молодежной политики Ставропольского края (далее - министерство) федеральным
законодательством, законодательством Ставропольского края и Положением о
министерстве полномочий и обязанностей по обеспечению проведения на
территории Ставропольского края государственной политики и осуществлением
управления, нормативно-правового регулирования в сфере образования
я, _______________________________________________________________________,
(фамилия, имя, отчество)
зарегистрированный по адресу: ____________________________________________,
паспорт серия _________ номер _________ выдан "____" _____________ _____ г.
(дата выдачи)
__________________________________________________________________________,
(наименование органа, выдавшего документ)
в соответствии со статьей 9 Федерального закона от 27 июля 2006 года
№ 152-ФЗ "О персональных данных" своей волей, в своем интересе и с целью
решения вопросов сферы деятельности министерства даю согласие
___________________________________________________________________________
(министерству образования и молодежной политики Ставропольского края)
(далее - оператору) на автоматизированную, а также без использования
средств автоматизации обработку моих персональных данных, включая сбор,
запись, систематизацию, накопление, хранение, уточнение (обновление,
изменение), извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование, удаление, уничтожение
персональных данных, а именно:
1) фамилия, имя, отчество;
2) дата рождения;
3) адрес регистрации по месту жительства;
4) адрес фактического проживания;
5) данные документа, удостоверяющего личность субъекта персональных данных;
6) почтовый адрес;
7) номер телефона, факса, адрес электронной почты;
8) индивидуальный налоговый номер;
9) номер страхового свидетельства обязательного пенсионного страхования;
10) реквизиты банковского счета;
11) данные о семейном положении;
12) данные на доверенное лицо;
13) сведения о социальных льготах и о социальном статусе.
Если мои персональные данные можно получить только у третьей стороны, то я должен быть уведомлен об этом заранее с указанием целей, предполагаемых источников и способов получения персональных данных. На это должно быть получено мое согласие.
Мне разъяснены мои права и обязанности, связанные с обработкой персональных данных, в том числе моя обязанность проинформировать оператора в случае изменения моих персональных данных и мое право в любое время отозвать свое согласие путем направления соответствующего письменного заявления оператору.
Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока до достижения цели обработки персональных данных или его отзыва мной в письменной форме.
"___" __________________ 20___ г. _______________ "_____________________"
(дата) (подпись) (расшифровка подписи)
Приложение 9
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
работника министерства образования
Ставропольского края, непосредственно осуществляющего
обработку персональных данных, в случае расторжения с ним
государственного контракта прекратить обработку
персональных данных, ставших известными ему
в связи с исполнением должностных обязанностей
Я, ____________________________________________________________________
(фамилия, имя, отчество)
___________________________________________________________________________
___________________________________________________________________________
(должность)
обязуюсь прекратить обработку персональных данных, ставших известными мне в
связи с исполнением должностных обязанностей в министерстве образования
Ставропольского края (далее - министерство), в случае расторжения со мной
контракта (договора), освобождения меня от замещаемой должности и
увольнения.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 года
№ 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные
данные являются конфиденциальной информацией. Я обязан(а) не раскрывать
третьим лицам и не распространять персональные данные, ставшие известными
мне в связи с исполнением должностных обязанностей в министерстве, без
согласия субъекта персональных данных.
Ответственность, предусмотренная Федеральным законом от 27 июля 2006
года № 152-ФЗ "О персональных данных" и другими федеральными законами, мне
разъяснена.
"___" __________________ 20___ г. _______________ "_____________________"
(дата) (подпись) (расшифровка подписи)
Приложение 10
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА
ОБРАЗОВАНИЯ СТАВРОПОЛЬСКОГО КРАЯ
Список изменяющих документов
(в ред. приказа минобразования Ставропольского края
от 06.05.2014 № 406-пр)
N
Наименование
Класс
1.
"Инфин-Управление"
К3 специальная
2.
"Аист"
К1 специальная
(в ред. приказа минобразования Ставропольского края от 06.05.2014 № 406-пр)
3.
"Кадры государственных и гражданских служащих Ставропольского края"
К3 специальная
4.
"Дело"
К2 специальная
Приложение 11
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ И РАБОТНИКОВ
МИНИСТЕРСТВА ОБРАЗОВАНИЯ СТАВРОПОЛЬСКОГО КРАЯ, ОТВЕТСТВЕННЫХ
ЗА ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ ОБРАБАТЫВАЕМЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
№ п/п
Наименование структурного подразделения
Наименование должности
1.
Руководство
первый заместитель министра
заместитель министра
2.
Отдел бухгалтерского учета и контроля
начальник отдела (главный бухгалтер)
консультант отдела
ведущий специалист
старший бухгалтер
3.
Отдел организационного и кадрового обеспечения
главный специалист
специалист по кадрам
4.
Сектор специального образования и защиты прав детей
ведущий специалист
старший инженер-программист
Приложение 12
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ И РАБОТНИКОВ
МИНИСТЕРСТВА ОБРАЗОВАНИЯ СТАВРОПОЛЬСКОГО КРАЯ, ЗАМЕЩЕНИЕ
КОТОРЫХ ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ЛИБО ОСУЩЕСТВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
№ п/п
Наименование структурного подразделения
Наименование должности
1.
Руководство
первый заместитель министра
заместитель министра
2.
Отдел бухгалтерского учета и контроля
начальник отдела (главный бухгалтер)
консультант отдела
ведущий специалист
старший бухгалтер
3.
Отдел организационного и кадрового обеспечения
главный специалист
специалист по кадрам
4.
Сектор специального образования и защиты прав детей
ведущий специалист
старший инженер-программист
Приложение 13
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ПЕРЕЧЕНЬ
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, РАЗРЕШЕННОГО К ИСПОЛЬЗОВАНИЮ
В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ СТАВРОПОЛЬСКОГО КРАЯ
1. Операционные системы: семейства "Microsoft Windows"; семейства "Linux".
2. Средства Microsoft Office; LibreOffice.
3. Программное обеспечение бухгалтерского и кадрового учета:
4. 1C Предприятие 8.2, 1C: Свод отчетов 7.7; 1C 7.7: Бухгалтерский учет; "Инфин-Управление"; "Скиф 3"; "Парус-Сведение отчетности онлайн"; "Удаленное место бюджетополучателя"; "SberSigun"; "Кладр: АРМ "Клиент"; АС "Клиент-Сбербанк"; "Налогоплательщик ЮЛ"; "НД СПУ" "Криста" "СЭД УФК" "УРМ АС Бюджет" "Кадры государственных гражданских служащих Ставропольского края".
4. Антивирусное программное обеспечение: "Eset nod 32 Antivirus"; "Kaspersky Antivirus".
5. Средства криптографической защиты информации:
6. "Крипто-Про CSP"; "Rutoken Drivers" "Континент-АП" "VipNet Client"
7. Программное обеспечение для просмотра электронной почты:
8. "The Bat!"; "Mozila Thunderbird".
9. Интернет браузеры: "Internet Explorer"; "Mozila Firefox"; "Opera".
10. Программное обеспечение для архивирования файлов и папок (архиваторы): "HaoZip"; "7Zip".
11. Программное обеспечение ABBYY Fine Reader.
12. Программное обеспечение Adobe Flash Player.
13. Программное обеспечение Adobe Acrobat Reader; Windows Djview.
14. Справочно-правовая система: "Гарант"; "КонсультантПлюс".
15. Информационные системы персональных данных.
16. Программный комплекс "Ю-Strike".
17. Программный комплекс "Nero".
18. Программное обеспечение "Аском-Док"
19. Специализированное программное обеспечение необходимое для обработки массивов данных, для достижения целей поставленных руководством министерства образования Ставропольского края.
--------------------------------
<*> Внесение изменений в список разрешенного программного обеспечения или установка и использование неуказанных в списке программных продуктов возможно только при письменном согласовании с ответственным сотрудником сектора программно-информационного обеспечения.
Приложение 14
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ПЕРЕЧНИ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В МИНИСТЕРСТВЕ
ОБРАЗОВАНИЯ И МОЛОДЕЖНОЙ ПОЛИТИКИ СТАВРОПОЛЬСКОГО КРАЯ
В СВЯЗИ С РЕАЛИЗАЦИЕЙ СЛУЖЕБНЫХ ИЛИ ТРУДОВЫХ ОТНОШЕНИЙ,
А ТАКЖЕ В СВЯЗИ С ОКАЗАНИЕМ ГОСУДАРСТВЕННЫХ УСЛУГ
И ОСУЩЕСТВЛЕНИЕМ ГОСУДАРСТВЕННЫХ ФУНКЦИЙ
Список изменяющих документов
(введено приказом минобразования Ставропольского края
от 06.05.2014 № 406-пр)
I. Перечень персональных данных, обрабатываемых в министерстве образования и молодежной политики Ставропольского края в связи с реализацией служебных и трудовых отношений:
1) фамилия, имя, отчество;
2) дата рождения;
3) пол;
4) место рождения;
5) информация о смене фамилии;
6) гражданство;
7) адрес регистрации по месту жительства;
8) адрес фактического проживания;
9) данные документа, удостоверяющего личность субъекта персональных данных;
10) номер телефона, факса, адрес электронной почты;
11) индивидуальный налоговый номер;
12) номер страхового свидетельства обязательного пенсионного страхования;
13) данные на доверенное лицо;
14) сведения о социальных льготах и о социальном статусе;
15) номер страхового медицинского полиса обязательного медицинского страхования граждан;
16) информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающих образование (наименование, номер, дата выдачи, специальность, квалификация));
17) информация о трудовой деятельности до приема на работу;
18) информация о трудовом стаже (место работы, должность, период работы, причины увольнения);
19) информация о знании иностранных языков;
20) форма допуска к государственной тайне;
21) ученая степень, ученое звание;
22) денежное содержание, оклад;
23) справка с главного управления министерства внутренних дел Российской Федерации по Ставропольскому краю об отсутствии судимости;
24) данные о служебном контракте (номер, дата заключения, вид работы, наличие испытания, режим труда, длительность основанного и дополнительных отпусков, дополнительные социальные льготы и гарантии, характер работы, форма оплаты, условия труда, продолжительность рабочей недели, система оплаты);
25) сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
26) данные об аттестации;
27) данные о повышении квалификации;
28) информация о профессиональной переподготовке, стажировке;
29) данные о наградах, поощрениях, почетных званиях;
30) информация о дисциплинарных взысканиях, судимостях, исполнительных листах;
31) информация о приеме на работу, перемещении по должности, увольнении;
32) информация об отпусках;
33) информация о командировках;
34) сведения и заключения о состоянии здоровья установленной формы об отсутствии у гражданина заболеваний, препятствующих поступлению на государственную гражданскую службу или ее прохождению;
35) сведения и заключения установленной формы об отсутствии медицинских противопоказаний для работы со сведениями, составляющими государственную тайну;
36) информация о государственном/негосударственном пенсионном обеспечении;
37) реквизиты банковского счета;
38) данные о семейном положении, составе семьи, сведения о близких родственниках;
39) сведения о доходах, об имуществе и обязательствах имущественного характера, о доходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей;
40) фотография.
II. Перечень персональных данных, обрабатываемых в министерстве образования и молодежной политики Ставропольского края в связи с оказанием государственных услуг и осуществлением государственных функций:
1) фамилия, имя, отчество;
2) дата рождения;
3) пол;
4) место рождения;
5) информация о смене фамилии;
6) гражданство;
7) адрес регистрации по месту жительства;
8) адрес фактического проживания;
9) данные документа, удостоверяющего личность субъекта персональных данных;
10) номер телефона, факса, адрес электронной почты;
11) индивидуальный налоговый номер;
12) номер страхового свидетельства обязательного пенсионного страхования;
13) медицинское заключение о состоянии здоровья;
14) данные на доверенное лицо;
15) информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающих образование (наименование, номер, дата выдачи, специальность, квалификация));
16) информация о трудовой деятельности;
17) информация о трудовом стаже (место работы, должность, период работы, причины увольнения);
18) денежное содержание, оклад;
19) реквизиты банковского счета;
20) данные о семейном положении, составе семьи, сведения о близких родственниках;
21) сведения об имуществе и обязательствах имущественного характера;
22) национальность;
23) сведения:
внешность (цвет глаз, цвет волос);
физическое развитие (рост, вес и др.);
особенности характера;
этническое происхождение;
принадлежность к определенной религии и культуре;
24) документы, подтверждающие правовой статус ребенка-сироты (свидетельства о смерти родителей, решение суда о лишении их родительских прав, признании недееспособными и иные, установленные действующим законодательством).
Приложение 15
к приказу
министерства образования
Ставропольского края
от 26 апреля 2013 г. № 335-пр
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ И МОЛОДЕЖНОЙ ПОЛИТИКИ
СТАВРОПОЛЬСКОГО КРАЯ
Список изменяющих документов
(введена приказом минобразования Ставропольского края
от 06.05.2014 № 406-пр)
1. Общие положения
1.1. Ответственный за организацию обработки персональных данных в министерстве образования и молодежной политики Ставропольского края (далее - ответственный за организацию обработки персональных данных) назначается приказом министра образования и молодежной политики Ставропольского края.
1.2. Ответственный за организацию обработки персональных данных в своей деятельности руководствуется Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Ставропольского края от 20 ноября 2013 г. № 421-п "Об утверждении Положения о министерстве образования и молодежной политики Ставропольского края", настоящей должностной инструкцией.
1.3. Ответственный за организацию обработки персональных данных является уполномоченным на поддержание достигнутого уровня защиты информационных систем персональных данных и ее ресурсов на этапах эксплуатации.
1.4. Ответственный за организацию обработки персональных данных осуществляет методическое руководство работников министерства образования и молодежной политики Ставропольского края (далее - министерство), имеющих доступ к персональным данным, в вопросах обеспечения безопасности персональных данных. Требования ответственного за организацию обработки персональных данных, связанные с выполнением им своих должностных обязанностей, обязательны для исполнения всеми работниками министерства, имеющими доступ к персональным данным.
1.5. Ответственный за организацию обработки персональных данных несет персональную ответственность за качество проводимых им работ по контролю за соблюдением министерством и его работниками, имеющими доступ к персональным данным, законодательства Российской Федерации, в том числе требований к защите персональных данных, нормативных правовых актов министерства по вопросам обработки персональных данных, состояние и поддержание установленного уровня защиты информационных систем персональных данных.
2. Функции ответственного за организацию
обработки персональных данных
2.1. Ответственный за организацию обработки персональных данных обязан:
предоставлять субъекту персональных данных либо его представителю по запросу информацию об обработке его персональных данных;
осуществлять внутренний текущий контроль за соблюдением требований законодательства Российской Федерации и Правил обработки персональных данных в министерстве при обработке персональных данных, в том числе требований к защите персональных данных;
доводить до сведения работников министерства, имеющих доступ к персональным данным, положения законодательства Российской Федерации о персональных данных, нормативных правовых актов министерства по вопросам обработки персональных данных, требований к защите персональных данных;
организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой их обращений и запросов;
получать обязательство от работников министерства, имеющих доступ к персональным данным, в случае расторжения с ними государственного контракта о прекращении обработки персональных данных, ставших известными им в связи с исполнением должностных обязанностей;
получать согласие на обработку персональных данных у субъекта персональных данных;
разъяснять субъекту персональных данных юридические последствия отказа предоставления его персональных данных.
2.2. Ответственный за организацию обработки персональных данных имеет право:
подать прошение руководству о прохождении обучения по защите персональных данных в учебных центрах и курсах повышения квалификации;
вносить руководству предложения о привлечении к ответственности отдельных работников министерства, имеющих доступ к персональным данным, допустивших серьезные нарушения в обеспечении безопасности персональных данных."
------------------------------------------------------------------
Введите даты для поиска: