Постановление Правительства Пензенской области от 11.05.2012 № 359-пП
Об утверждении Положения об обработке и защите персональных данных в Правительстве Пензенской области
ПРАВИТЕЛЬСТВО ПЕНЗЕНСКОЙ ОБЛАСТИ ПОСТАНОВЛЕНИЕ от 11 мая 2012 г. N 359-пП г. Пенза Об утверждении Положения об обработке и защите персональных данных в Правительстве Пензенской области (В редакции Постановлений Правительства Пензенской области от 22.04.2014 г. N 272-пП; от 06.11.2014 г. N 766-пП) В целях реализации Федерального закона от 27.07.2006 N 152-ФЗ"О персональных данных" (с последующими изменениями), руководствуясьЗаконом Пензенской области от 22.12.2005 N 906-ЗПО "О ПравительствеПензенской области" (с последующими изменениями), ПравительствоПензенской области п о с т а н о в л я е т: 1. Утвердить прилагаемое Положение об обработке и защитеперсональных данных в Правительстве Пензенской области. 2. Признать утратившим силу постановление ПравительстваПензенской области от 18.03.2011 N 158-пП "Об утверждении Положения обобработке и защите персональных данных в Правительстве Пензенскойобласти". 3. Настоящее постановление опубликовать в газете "Пензенскиегубернские ведомости". 4. Контроль за исполнением настоящего постановления возложить наруководителя аппарата Губернатора и Правительства Пензенской области. Губернатор Пензенской области В.К.Бочкарев __________________ УТВЕРЖДЕНО постановлением Правительства Пензенской области от 11 мая 2012 г. N 359-пП П О Л О Ж Е Н И Е об обработке и защите персональных данных в Правительстве Пензенской области (В редакции Постановлений Правительства Пензенской области от 22.04.2014 г. N 272-пП; от 06.11.2014 г. N 766-пП) 1. Термины и определения 1.1. В настоящем Положении об обработке и защите персональныхданных в Правительстве Пензенской области используются основныепонятия и термины, определенные федеральными законами от 27.07.2006N 152-ФЗ "О персональных данных" (с последующими изменениями) и от27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и озащите информации" (с последующими изменениями). 2. Общие положения 2.1. Целью Положения об обработке и защите персональных данных вПравительстве Пензенской области (далее - Положение) являетсяобеспечение защиты персональных данных в Правительстве Пензенскойобласти от несанкционированного доступа, неправомерного ихиспользования или утраты. 2.2. Настоящее Положение определяет политику ПравительстваПензенской области в отношении обработки персональных данных иустанавливает процедуры, направленные на предотвращение и выявлениенарушений законодательства Российской Федерации, устранениепоследствий таких нарушений. 2.3. Настоящее Положение разработано в соответствии с: - Конституцией Российской Федерации; - Трудовым кодексом Российской Федерации; - Кодексом об административных правонарушениях РоссийскойФедерации; - Гражданским кодексом Российской Федерации; - Уголовным кодексом Российской Федерации; - Федеральным законом от 27.07.2006 N 152-ФЗ "О персональныхданных" (с последующими изменениями); - Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации,информационных технологиях и о защите информации" (с последующимиизменениями); - постановлением Правительства Российской Федерации от 01.11.2012N 1119 "Об утверждении требований к защите персональных данных при ихобработке в информационных системах персональных данных"; (В редакцииПостановления Правительства Пензенской области от 04.12.2012 г. N881-пП) - постановлением Правительства Российской Федерации от 15.09.2008N 687 "Об утверждении Положения об особенностях обработки персональныхданных, осуществляемой без использования средств автоматизации"; - постановлением Правительства Российской Федерации от 21.03.2012N 211 "Об утверждении перечня мер, направленных на обеспечениевыполнения обязанностей, предусмотренных Федеральным законом "Оперсональных данных" и принятыми в соответствии с ним нормативнымиправовыми актами, операторами, являющимися государственными илимуниципальными органами" (с последующими изменениями); (В редакцииПостановления Правительства Пензенской области от 22.04.2014 г. N272-пП) - Специальными требованиями и рекомендациями по техническойзащите конфиденциальной информации, утвержденными приказомГостехкомиссии России от 30.08.2002 N 282 (с последующимиизменениями). 2.4. Обработка персональных данных в Правительстве Пензенскойобласти должна осуществляться на основе принципов, определенных встатье 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональныхданных" (с последующими изменениями). 2.5. Лицо, ответственное за организацию обработки персональныхданных в Правительстве Пензенской области, определяется распоряжениемПравительства Пензенской области. 2.6. Руководители структурных подразделений ПравительстваПензенской области, производящих обработку персональных данных,назначаются распоряжением Правительства Пензенской областиответственными за обработку и защиту персональных данных в своихподразделениях. 2.7. Структурными подразделениями Правительства Пензенскойобласти, осуществляющими обработку персональных данных субъектовперсональных данных, не отнесенных к общедоступным персональнымданным, являются: - Управление государственной службы и кадров; - Управление экономического планирования и финансовогообеспечения; - Управление по работе с обращениями граждан и организаций. (Пункт в редакции Постановления Правительства Пензенской областиот 06.11.2014 г. N 766-пП) 2.8. Обработка персональных данных без использования средствавтоматизации ведется в Управлении государственной службы и кадровПравительства Пензенской области и на пропускном пункте зданияПравительства Пензенской области. В структурных подразделенияхПравительства Пензенской области, указанных в пункте 2.7 раздела 2настоящего Положения, обработка персональных данных ведется сиспользованием средств автоматизации. (В редакции ПостановленияПравительства Пензенской области от 22.04.2014 г. N 272-пП) 2.9. В Управлении государственной службы и кадров ПравительстваПензенской области, в соответствии с частью 2 статьи 4 Федеральногозакона от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующимиизменениями), Указом Президента Российской Федерации от 30.05.2005N 609 "Об утверждении Положения о персональных данных государственногогражданского служащего Российской Федерации и ведении его личногодела" (с последующими изменениями), обработка персональных данныхведется согласно постановлению Губернатора Пензенской области от 06.09.2010 N 86 "Об организации работы с персональнымиданными лиц, замещающих государственные должности Пензенской области,назначаемых на должность и освобождаемых от должности ГубернаторомПензенской области" (с последующими изменениями). 2.10. В Управлении по работе с обращениями граждан и организацийПравительства Пензенской области порядок обработки и защитыперсональных данных организуется в соответствии с Федеральным закономот 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений гражданРоссийской Федерации" (с последующими изменениями) и даннымПоложением. 2.11. Методы и способы защиты информации, целесообразность ихприменения для обеспечения безопасности персональных данных винформационных системах, осуществляющих обработку персональных данных,определяются структурными подразделениями Правительства Пензенскойобласти, указанными в пункте 2.7 раздела 2 настоящего Положения, посогласованию с первым отделом Правительства Пензенской области сучетом актуальных угроз безопасности персональных данных, определяемыхдля каждой информационной системы персональных данных. 2.12. Настоящее Положение является обязательным для исполнениявсеми работниками Правительства Пензенской области, имеющими доступ кперсональным данным. 3. Условия сбора и обработки персональных данных 3.1. Сбор персональных данных может осуществляться как путемпредставления их самим субъектом персональных данных, так и путемполучения их от иных источников при условии реализации части 8 статьи9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"(с последующими изменениями). Если персональные данные субъектаперсональных данных получены не от субъекта персональных данных, то доначала их обработки необходимо предоставить субъекту информацию,определенную частью 3 статьи 18 Федерального закона от 27.07.2006N 152-ФЗ "О персональных данных" (с последующими изменениями), заисключением случаев предусмотренных частью 4 статьи 18 Федеральногозакона от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующимиизменениями). 3.2. Персональные данные о частной жизни субъекта персональныхданных (информация о жизнедеятельности в сфере семейных, бытовых,личных отношений) в Правительстве Пензенской области могут бытьполучены и обработаны сотрудниками, допущенными к обработкеперсональных данных, только с письменного согласия субъектаперсональных данных на бумажном носителе или в форме электронногодокумента, подписанного в соответствии с федеральным закономэлектронной подписью. 3.3. Правительство Пензенской области не имеет право получать иобрабатывать персональные данные субъекта персональных данных о егочленстве в общественных объединениях или его профсоюзной деятельности,за исключением случаев, предусмотренных федеральными законами. 3.4. Все меры конфиденциальности при сборе, обработке и храненииперсональных данных субъекта персональных данных распространяются какна бумажные, так и на электронные носители информации. 3.5. Сотрудники, допущенные к обработке персональных данных, вобязательном порядке под роспись знакомятся с настоящим Положением иподписывают типовое обязательство государственного гражданскогослужащего Пензенской области, замещающего должность государственнойгражданской службы Пензенской области в Правительстве Пензенскойобласти, непосредственно осуществляющего обработку персональныхданных, в случае расторжения с ним государственного контрактапрекратить обработку персональных данных, ставших известными ему всвязи с исполнением должностных обязанностей. (В редакцииПостановления Правительства Пензенской области от 22.04.2014 г. N272-пП) 4. Хранение и использование персональных данных 4.1. Хранение персональных данных должно осуществляться в форме,позволяющей определить субъекта персональных данных, не дольше, чемэтого требуют цели их обработки, со сроком хранения, определеннымчастью 7 статьи 5 Федерального закона от 27.07.2006 N 152-ФЗ"О персональных данных" (с последующими изменениями). 4.2. Хранение персональных данных должно происходить в порядке,исключающем их утрату или их неправомерное использование. 4.3. Перечень должностных лиц Правительства Пензенской области,допущенных к пользованию личными делами, которые ведутся Управлениемгосударственной службы и кадров Правительства Пензенской области,определен постановлением Губернатора Пензенской области от 26.07.2005N 243 "О персональных данных государственных гражданских служащихПензенской области в исполнительных органах государственной властиПензенской области, лиц, замещающих в них государственные должностиПензенской области, и ведение их личных дел" (с последующимиизменениями). 4.4. (Исключен - Постановление Правительства Пензенской областиот 22.04.2014 г. N 272-пП) 5. Передача персональных данных 5.1. Передача персональных данных субъекта персональных данныхвозможна только с согласия субъекта персональных данных или в случаях,предусмотренных законодательством. Если передача персональных данныхсубъекта персональных данных не предусмотрена законодательством, то ссубъекта персональных данных в обязательном порядке берется письменноесогласие на бумажном носителе или в форме электронного документа,подписанного в соответствии с федеральным законом электроннойподписью. 5.2. При передаче персональных данных субъекта персональныхданных уполномоченные Правительством Пензенской области сотрудникидолжны соблюдать следующие требования: - не сообщать персональные данные субъекта персональных данных вкоммерческих целях без его письменного согласия; - предупреждать лиц, получающих персональные данные субъектаперсональных данных, о том, что эти данные могут быть использованылишь в целях, для которых они сообщены, и требовать от этих лицподтверждения того, что это правило соблюдено. Лица, получающиеперсональные данные субъекта персональных данных, обязаны соблюдатьрежим защиты персональных данных; - передавать персональные данные субъекта персональных данныхпредставителям субъектов персональных данных в порядке, установленномфедеральными законами, и ограничивать эту информацию только темиперсональными данными субъекта персональных данных, которые необходимыдля выполнения указанными представителями их функций. 5.3. Передача персональных данных от Правительства Пензенскойобласти или его представителей иному оператору персональных данныхможет допускаться в минимальных объемах, в целях выполнения задач,соответствующих объективной причине сбора этих данных, и только послезаключения с этим оператором договора о соблюдении конфиденциальности. 5.4. Не допускается отвечать на вопросы, связанные с передачейперсональных данных по телефону или факсу. 6. Права субъектов персональных данных по обеспечению защиты персональных данных, хранящихся в Правительстве Пензенской области 6.1. В целях защиты персональных данных, хранящихся вПравительстве Пензенской области, субъект персональных данных имеетправо: - на полную информацию о своих персональных данных и обработкуэтих данных; - требовать исключения или исправления неверных или неполныхперсональных данных, а также данных, обработанных с нарушениемтребований федеральных законов; - дополнять персональные данные оценочного характера заявлением,выражающим его собственную точку зрения; - определять своих представителей для защиты своих персональныхданных; - на сохранение и защиту своей личной и семейной тайны; - на свободный бесплатный доступ к своим персональным данным,включая право на получение копий любой записи, содержащей персональныеданные, за исключением случаев, предусмотренных федеральнымзаконодательством; - требовать об извещении всех лиц, которым ранее были сообщеныневерные или неполные персональные данные субъекта персональныхданных, обо всех произведенных в них исключениях, исправлениях илидополнениях; - на обжалование в суде любых неправомерных действий илибездействия при обработке и защите его персональных данных. 7. Требования к обработке и защите персональных данных в информационных системах Правительства Пензенской области без использования средств автоматизации 7.1. Обработка и защита персональных данных в информационныхсистемах персональных данных отдела государственной службы Управлениягосударственной службы и кадров Правительства Пензенской области (однаинформационная система) и пропускного пункта здания ПравительстваПензенской области организуется на основании Положения об особенностяхобработки персональных данных, осуществляемой без использованиясредств автоматизации, утвержденного постановлением ПравительстваРоссийской Федерации от 15.09.2008 N 687. 7.2. Защита персональных данных должна осуществляться такимобразом, чтобы в отношении каждой категории персональных данных быливыполнены следующие требования: - определены места хранения персональных данных (материальныхносителей), - обеспечено раздельное хранение персональных данных(материальных носителей), обработка которых осуществляется в различныхцелях; - соблюдены условия, обеспечивающие сохранность персональныхданных и исключающие несанкционированный к ним доступ. 7.3. При ведении журналов (книг), содержащих персональные данные,необходимые для однократного пропуска субъекта персональных данных вздание Правительства Пензенской области, или в иных аналогичных целях,должны соблюдаться следующие условия: а) необходимость ведения такого журнала (книги) должна бытьпредусмотрена актом Правительства Пензенской области, содержащимсведения о цели обработки персональных данных, осуществляемой безиспользования средств автоматизации, способы фиксации и составинформации, запрашиваемой у субъектов персональных данных, переченьлиц (поименно или по должностям), имеющих доступ к материальнымносителям и ответственных за ведение и сохранность журнала (книги),сроки обработки персональных данных, а также сведения о порядкепропуска субъекта персональных данных в здание ПравительстваПензенской области без подтверждения подлинности персональных данных,сообщенных субъектом персональных данных; б) копирование содержащейся в таких журналах (книгах) информациине допускается; в) персональные данные каждого субъекта персональных данных могутзаноситься в такой журнал (книгу) не более одного раза в каждом случаепропуска субъекта персональных данных в здание ПравительстваПензенской области. 7.4. Применяемые меры по защите персональных данных должны бытьнаправлены на: - ограничение доступа персонала и посторонних лиц в помещения,где размещены информационные системы персональных данных и хранятсяматериальные носители персональных данных; - организацию учета и надежного хранения материальных носителейперсональных данных, их обращения, исключающее хищение, подмену иуничтожение. 8. Требования к обработке и защите персональных данных в информационных системах Правительства Пензенской области с использованием средств автоматизации 8.1. Обработка и защита персональных данных в информационныхсистемах персональных данных с использованием средств автоматизации вструктурных подразделениях Правительства Пензенской области, указанныхв пункте 2.7 раздела 2 настоящего Положения, осуществляется всоответствии с Требованиями к защите персональных данных при ихобработке в информационных системах персональных данных, утвержденнымипостановлением Правительства Российской Федерации от 01.11.2012 N1119, нормативными и руководящими документами уполномоченныхфедеральных органов исполнительной власти. (В редакции ПостановленияПравительства Пензенской области от 04.12.2012 г. N 881-пП) 8.2. Безопасность персональных данных достигается путемисключения несанкционированного, в том числе случайного, доступа кперсональным данным, результатом которого может стать уничтожение,изменение, блокирование, копирование, распространение персональныхданных, а также иных несанкционированных действий. 8.3. Безопасность персональных данных при их обработке винформационных системах Правительства Пензенской областиобеспечивается с помощью системы защиты персональных данных,включающей организационные меры и средства защиты информации (в томчисле шифровальные (криптографические) средства, средствапредотвращения несанкционированного доступа, утечки информации потехническим каналам, программно-технических воздействий на техническиесредства обработки персональных данных), а также используемые винформационной системе информационные технологии. Технические ипрограммные средства должны удовлетворять устанавливаемым всоответствии с законодательством Российской Федерации требованиям,обеспечивающим защиту информации. (Пункты 8.4.-8.6. исключены - Постановление ПравительстваПензенской области от 04.12.2012 г. N 881-пП) 8.4. Обмен персональными данными при их обработке винформационных системах осуществляется по каналам связи, защитакоторых обеспечивается путем реализации соответствующихорганизационных мер и (или) путем применения технических средствзащиты. 8.5. Размещение информационных систем Правительства Пензенскойобласти, специальное оборудование и охрана помещений, в которыхведется работа с персональными данными, организация режима обеспечениябезопасности в этих помещениях должны обеспечивать сохранностьносителей персональных данных и средств защиты информации, а такжеисключать возможность неконтролируемого проникновения или пребывания вэтих помещениях посторонних лиц. 8.6. При обработке персональных данных в информационных системахперсональных данных Правительства Пензенской области должно бытьобеспечено: а) проведение мероприятий, направленных на предотвращениенесанкционированного доступа к персональным данным и (или) передачи ихлицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов несанкционированного доступак персональным данным; в) недопущение воздействия на технические средстваавтоматизированной обработки персональных данных, в результатекоторого может быть нарушено их функционирование; г) возможность незамедлительного восстановления персональныхданных, модифицированных или уничтоженных вследствиенесанкционированного доступа к ним; д) постоянный контроль за обеспечением уровня защищенностиперсональных данных. 8.7. Мероприятия по обеспечению безопасности персональных данныхпри их обработке в информационных системах Правительства Пензенскойобласти включают в себя: а) определение угроз безопасности персональных данных при ихобработке, формирование на их основе модели угроз; б) разработку на основе модели угроз системы защиты персональныхданных, обеспечивающей нейтрализацию предполагаемых угроз сиспользованием методов и способов защиты персональных данных,предусмотренных для соответствующего класса информационных систем; в) проверку готовности средств защиты информации к использованиюс составлением заключений о возможности их эксплуатации; г) установку и ввод в эксплуатацию средств защиты информации всоответствии с эксплуатационной и технической документацией; д) обучение лиц, использующих средства защиты информации,применяемые в информационных системах, правилам работы с ними; е) учет применяемых средств защиты информации, эксплуатационной итехнической документации к ним, носителей персональных данных; ж) учет лиц, допущенных к работе с персональными данными винформационной системе; з) контроль за соблюдением условий использования средств защитыинформации, предусмотренных эксплуатационной и техническойдокументацией; и) разбирательство и составление заключений по фактамнесоблюдения условий хранения носителей персональных данных,использования средств защиты информации, которые могут привести кнарушению конфиденциальности персональных данных или другимнарушениям, приводящим к снижению уровня защищенности персональныхданных, разработку и принятие мер по предотвращению возможных опасныхпоследствий подобных нарушений; к) описание системы защиты персональных данных. 8.8. Запросы пользователей информационной системы на получениеперсональных данных, а также факты предоставления персональных данныхпо этим запросам регистрируются автоматизированными средствамиинформационной системы в электронном журнале обращений. 8.9. Не допускается обработка персональных данных винформационных системах персональных данных с использованием средствавтоматизации при отсутствии: - утвержденных организационно-технических документов о порядкеэксплуатации информационных систем персональных данных, включающих актклассификации информационных систем персональных данных, инструкциипользователя, администратора по организации антивирусной защиты,парольной защиты автоматизированных систем, и других нормативных иметодических документов; - настроенных средств защиты от несанкционированного доступа,средств антивирусной защиты, резервного копирования информации идругих программных и технических средств, в соответствии стребованиями безопасности информации; - охраны и организации режима допуска в помещения,предназначенные для обработки персональных данных; - документа, подтверждающего эффективность применяемых мер исредств защиты по нейтрализации актуальных угроз безопасности,определенных в частной модели угроз безопасности персональных данных вконкретных информационных системах персональных данных. 9. Порядок привлечения специализированных сторонних организаций к разработке информационных систем персональных данных и средств защиты информации Правительства Пензенской области 9.1. Порядок привлечения специализированных сторонних организацийк разработке и эксплуатации новых информационных систем персональныхданных, их задачи и функции на различных стадиях создания иэксплуатации разрабатывается первым отделом Правительства Пензенскойобласти, исходя из особенностей информационных систем. 9.2. Для выбора и реализации методов и способов защиты информациив информационных системах персональных данных ПравительствомПензенской области может привлекаться организация, имеющая оформленнуюв установленном порядке лицензию на осуществление деятельности потехнической защите конфиденциальной информации. 10. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных 10.1. Персональная ответственность - одно из главных требований корганизации функционирования в Правительстве Пензенской областисистемы защиты персональных данных и обязательное условие обеспеченияэффективности этой системы. 10.2. Персональные данные не могут быть использованы в целяхпричинения имущественного и морального вреда, затруднения реализацииправ и свобод граждан Российской Федерации. Ограничение прав гражданРоссийской Федерации на основе использования информации об ихсоциальном происхождении, о расовой, национальной, языковой,религиозной и партийной принадлежности запрещено в соответствии сзаконодательством. 10.3. Должностные лица Правительства Пензенской области, виновныев нарушении норм и требований действующего законодательства,регулирующих обработку и защиту персональных данных, несутответственность в соответствии с законодательством РоссийскойФедерации. __________ Приложение к Положению об обработке и защите персональных данных в Правительстве Пензенской области, утвержденному постановлением Правительства Пензенской области от 11 мая 2012 г. N 359-пП О Б Я З А Т Е Л Ь С Т В О о неразглашении персональных данных (Исключено - Постановление Правительства Пензенской области от 22.04.2014 г. N 272-пП)