Приложение к Приказу от 14.03.2011 г № 18/1 Положение
Положение об обработке и защите персональных данных в управлении природных ресурсов и охраны окружающей среды пензенской области
1.Общие положения
1.1.Целью Положения об обработке и защите персональных данных в Управлении природных ресурсов и охраны окружающей среды Пензенской области (далее - Положение) является обеспечение защиты персональных данных в Управлении природных ресурсов и охраны окружающей среды Пензенской области от несанкционированного доступа, неправомерного их использования или утраты.
Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в Управлении природных ресурсов и охраны окружающей среды Пензенской области (далее - Управление).
1.2.Настоящее Положение разработано в соответствии с:
Конституцией Российской Федерации;
Трудовым Кодексом Российской Федерации;
Кодексом об административных правонарушениях Российской Федерации;
Гражданским Кодексом Российской Федерации;
Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями);
Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями);
Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (с последующими изменениями);
Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (с последующими изменениями);
Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
Приказом Управления от 23.03.2010 N 18/1-к "О назначении ответственного за работу с персональными данными, ведение личных дел, ведение, хранение, учет и выдачу трудовых книжек";
Приказом Управления от 09.03.2011 N 16/1 "Об утверждении перечня общедоступных сведений, перечней персональных данных и информационных систем персональных данных, а также о назначении ответственных лиц за обработку персональных данных в Управлении природных ресурсов и охраны окружающей среды Пензенской области";
Приказом Управления от 04.03.2011 N 15/1 "О назначении администраторов безопасности информационных систем персональных данных и о введении режима обработки и защиты персональных данных в Управлении природных ресурсов и охраны окружающей среды Пензенской области".
1.3.Обработка персональных данных в Управлении должна осуществляться на основе принципов, определенных в статье 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями).
1.4.Ответственным подразделением по разработке и выполнению мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Управления определен отдел государственного контроля в сфере природопользования и охраны окружающей среды.
1.5.Начальники отделов Управления, производящих обработку персональных данных, являются ответственными за обработку и защиту персональных данных в своих отделах.
1.6.Обработку персональных данных, подлежащих защите проводят все отделы Управления.
Согласно проведенному анализу в отделах Управления обработка персональных данных, содержащихся в информационных системах персональных данных либо извлеченных из таких систем, считается осуществляемой без использования средств автоматизации (неавтоматизированной), так как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека.
Обработка персональных данных, подлежащих защите, в Управлении происходит в соответствии с действующим законодательством и данным Положением, которое является обязательным для исполнения всеми государственными гражданскими служащими Управления, имеющими доступ к персональным данным.
2.Порядок определения защищаемой информации
Приказом Управления от 09.03.2011 N 16/1 "Об утверждении перечня общедоступных сведений, перечней персональных данных и информационных систем персональных данных, а также о назначении ответственных лиц за обработку персональных данных в Управлении природных ресурсов и охраны окружающей среды Пензенской области" определен и утвержден перечень персональных данных, подлежащих защите.
3.Условия сбора и обработки персональных данных
3.1.Сбор персональных данных может осуществляться как путем представления их самим субъектом, так и путем получения из иных источников. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Государственные гражданские служащие Управления, допущенные к обработке персональных данных должны сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
3.2.Обработка персональных данных в Управлении может осуществляться только после получения согласия от субъекта персональных данных, составленного по форме согласно приложению N 1 к настоящему Положению. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни субъекта (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны сотрудниками, допущенными к обработке персональных данных, только с его письменного согласия.
3.3.Государственные гражданские служащие Управления не имеют права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
3.4.Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.
3.5.Государственные гражданские служащие Управления, допущенные к обработке персональных данных, в обязательном порядке подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме, согласно приложению N 2 к настоящему Положению.
4.Хранение и использование персональных данных
4.1.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
4.2.Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.3.Перечень государственных гражданских служащих Управления, допущенных к обработке персональных данных определен приказом Управления от 09.03.2011 N 16/1 "Об утверждении перечня общедоступных сведений, перечней персональных данных и информационных систем персональных данных, а также о назначении ответственных лиц за обработку персональных данных в Управлении природных ресурсов и охраны окружающей среды Пензенской области"
4.4.Право доступа к персональным данным субъекта внутри Управления имеют:
- Начальник Управления;
- Заместитель начальника Управления.
5.Передача персональных данных субъектов
5.1.Передача персональных данных субъекта возможна только с согласия субъекта или в случаях, предусмотренных законодательством.
5.2.При передаче персональных данных субъекта государственные гражданские служащие Управления, допущенные к обработке персональных данных должны соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных действующим законодательством;
- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовых функций;
- передавать персональные данные субъекта представителям субъектов в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.
5.3.Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.
6.Права субъектов по обеспечению защиты персональных данных, хранящихся в Управлении
6.1.В целях защиты персональных данных, хранящихся в Управлении, субъект имеет право:
- на полную информацию о своих персональных данных и обработке этих данных;
- на исключение или исправление неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства;
- на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;
- на определение своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев предусмотренных действующим законодательством;
- на извещение лицом, допущенным к обработке персональных данных, всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суде любых неправомерных действий или бездействия лица, допущенного к обработке персональных данных, при обработке и защите его персональных данных.
7.Требования к обработке и защите персональных данных в информационных системах Управления
7.1.Обработка персональных данных в Управлении организуется на основании постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
7.2.В Управлении приказами от 04.03.2011 N 15/1 и от 09.03.2011 N 16/1 разработаны и утверждены документы согласно приложению N 3 к настоящему Положению. Защита персональных данных, осуществляемая в Управлении, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были выполнены следующие требования:
- определены места хранения персональных данных (материальных носителей),
- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
7.3.Применяемые меры по защите персональных данных в Управлении должны быть направлены на:
- организацию учета и надежного хранения материальных носителей персональных данных, их обращения, исключающую хищение, подмену и уничтожение;
- размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр.
8.Порядок привлечения специализированных сторонних организаций к разработке информационных систем персональных данных и средств защиты информации Правительства
Пензенской области
8.1.Порядок привлечения специализированных сторонних организаций к разработке и эксплуатации новых информационных систем персональных данных, их задачи и функции на различных стадиях создания и эксплуатации определяются начальником Управления.
8.2.Для выбора и реализации методов и способов защиты информации в информационной системе Управлением может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
9.Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных
9.1.Персональная ответственность - одно из главных требований к организации функционирования в Управлении системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.
9.2.Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.
9.3.Государственные гражданские служащие Управления, виновные в нарушении норм и требований регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством