Приложение к Приказу от 13.07.2011 г № 685 Положение
Положение об обработке и защите персональных данных в Министерстве сельского хозяйства Пензенской области
1.Термины и определения
1.1.В настоящем Положении об обработке и защите персональных данных в Министерстве сельского хозяйства Пензенской области (далее - Министерство) используются основные понятия и термины, определенные Федеральными законами от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями) и от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями).
2.Общие положения
2.1.Целью Положения об обработке и защите персональных данных в Министерстве (далее - Положение) является обеспечение защиты персональных данных в Министерстве от несанкционированного доступа, неправомерного их использования или утраты.
2.2.Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных структурных подразделений Министерства, за исключением персональных данных государственных служащих, замещающих должности государственной гражданской службы, назначение на которые и освобождение от которых осуществляются Губернатором Пензенской области.
2.3.Настоящее Положение разработано в соответствии с:
- Конституцией Российской Федерации;
- Трудовым Кодексом Российской Федерации;
- Кодексом об административных правонарушениях Российской Федерации;
- Гражданским Кодексом Российской Федерации;
- Уголовным Кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями);
- Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями);
- Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- Специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30.08.2002 N 282 (с последующими изменениями).
2.4.Обработка персональных данных в Министерстве должна осуществляться на основе принципов, определенных в статье 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями).
2.5.Ответственным подразделением по разработке и выполнению мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Министерства, а также координации работ по защите конфиденциальной информации определен отдел организационной и кадровой работы Министерства.
2.6.Руководители структурных подразделений Министерства, производящих обработку персональных данных, являются ответственными за обработку и защиту персональных данных в своих подразделениях.
2.7.Структурными подразделениями Министерства, осуществляющими обработку персональных данных субъектов персональных данных, являются:
- отдел организационной и кадровой работы;
- отдел бухгалтерского учета и отчетности АПК.
2.8.Обработка общедоступных персональных данных ведется в отделах организационной и кадровой работы и бухгалтерского учета и отчетности АПК.
2.9.Согласно проведенному анализу в структурных подразделениях Министерства обработка персональных данных, содержащихся в информационных системах персональных данных либо извлеченных из таких систем, считается осуществляемой без использования средств автоматизации (неавтоматизированной), так как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека.
2.10.Разработка систем защиты персональных данных в информационных системах Министерства, контроль за эксплуатацией информационных систем персональных данных осуществляется отделом развития сельских территорий Министерства. При необходимости привлекаются специалисты по защите информации Управления информатизации Пензенской области.
2.11.Методы и способы защиты информации, целесообразность их применения для обеспечения безопасности персональных данных в информационных системах, осуществляющих обработку персональных данных без использования средств автоматизации, определяются Министерством.
2.12.Настоящее Положение является обязательным для исполнения всеми государственными гражданскими служащими в Министерстве, имеющими доступ к персональным данным.
3.Порядок определения защищаемой информации
3.1.В Министерстве на основании утвержденного Указом Президента Российской Федерации 06.03.1997 N 188 "Перечня сведений конфиденциального характера" (с последующими изменениями), в соответствии с Федеральным законом от 27.27.2066 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями), постановлением 19.09.2006 N 1-26дсп "Об утверждении документов, регламентирующих порядок обращения со служебной информацией конфиденциального характера в исполнительных органах государственной власти Пензенской области" (с последующими изменениями), Положением о Министерстве сельского хозяйства Пензенской области, утвержденным постановлением Правительства Пензенской области от 10.02.2009 N 99-пП (с последующими изменениями) определен и утвержден сводный перечень сведений конфиденциального характера и документов их содержащих.
4.Условия сбора и обработки персональных данных
4.1.Сбор персональных данных может осуществляться как путем представления их самим субъектом, так и путем получения из иных источников. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Государственные гражданские служащие, допущенные к обработке персональных данных, должны сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
4.2.Обработка персональных данных в Министерстве может осуществляться только после получения согласия от субъекта персональных данных, составленного по форме согласно приложению N 1 к настоящему Положению или сформированного в информационной системе персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями). В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни субъекта (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны сотрудниками, допущенными к обработке персональных данных, только с его письменного согласия.
4.3.Министерство не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
4.4.Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.
4.5.Государственные гражданские служащие, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме, согласно приложению N 2 к настоящему Положению.
5.Хранение и использование персональных данных
5.1.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.2.Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
5.3.Перечень должностных лиц Министерства, допущенных к пользованию личными делами и трудовыми книжками, которые ведутся отделом организационной и кадровой работы, определен приказом Министерства от 01.02.2011 N 38 "Об обеспечении защиты персональных данных и определении лиц, ответственных за ведение личных дел и трудовых книжек" (с последующими изменениями).
5.4.Список ответственных лиц в Министерстве за обработку персональных данных, подлежащих защите, утверждается приказом Министерства.
5.5.Право доступа к персональным данным субъекта внутри Министерства имеют:
- Министр;
- первый заместитель Министра;
- начальник управления по обеспечению деятельности Министерства;
- руководители структурных подразделений по направлению деятельности (доступ к персональным данным только сотрудников своего подразделения);
- при переводе из одного структурного подразделения в другое доступ к персональным данным субъекта может иметь руководитель подразделения, в которое он переведен;
- сам субъект персональных данных;
- сотрудники Министерства, допущенные к работе с персональными данными, при выполнении ими своих служебных обязанностей.
6.Передача персональных данных субъектов
6.1.Передача персональных данных субъекта возможна только с согласия субъекта или в случаях, предусмотренных законодательством.
6.2.При передаче персональных данных субъекта уполномоченные Министерством государственные гражданские служащие должны соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, установленных федеральным законом;
- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
- не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовых функций;
- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим защиты персональных данных;
- передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.
6.3.Передача персональных данных от Министерства или его представителей внешнему оператору может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
6.4.Не допускается отвечать на вопросы, связанные с передачей персональной данных, по телефону или факсу.
7.Права субъектов по обеспечению защиты персональных данных, хранящихся в Министерстве
7.1.В целях защиты персональных данных, хранящихся в Министерстве, субъект имеет право:
- на полную информацию о своих персональных данных и обработке этих данных;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового Кодекса или иного федерального закона;
- дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законодательством;
- требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
8.Требования к обработке и защите персональных данных в информационных системах Министерства
8.1.Обработка персональных данных в структурных подразделениях Министерства организуется на основании постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
8.2.Защита персональных данных, осуществляемая в структурных подразделениях Министерства, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были выполнены следующие требования:
- определены места хранения персональных данных (материальных носителей),
- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
8.3.Применяемые меры по защите персональных данных в структурных подразделениях Министерства должны быть направлены на:
- ограничение доступа персонала и посторонних лиц в помещения, где размещены информационные системы персональных данных и хранятся материальные носители персональных данных;
- организацию учета и надежного хранения материальных носителей персональных данных, их обращения, исключающее хищение, подмену и уничтожение;
- размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр.
8.4.Обработка персональных данных на базе автономных ПЭВМ в структурных подразделениях Министерства должна быть основана на технологии обработки информации с использованием съемных накопителей информации большой емкости, которая предусматривает запись на съемный накопитель прикладного программного обеспечения (или его части) и обрабатываемых персональных данных. В качестве устройств для работы по этой технологии могут быть использованы как встроенные (съемные), так и выносные накопители на магнитных, магнитооптических дисках различной конструкции. Одновременно может быть установлено несколько съемных накопителей информации большой емкости.
8.5.Порядок защиты персональных данных на базе автономных ПЭВМ в структурных подразделениях Министерства определен п. 5.5 "Специальных требований и рекомендаций по технической защите и конфиденциальной информации", утвержденных приказом Гостехкомиссии России от 30.08.2002 N 282 (с последующими изменениями).
9.Порядок привлечения специализированных сторонних организаций к разработке информационных систем персональных данных и средств защиты информации Министерства
9.1.Порядок привлечения специализированных сторонних организаций к разработке и эксплуатации новых информационных систем персональных данных, их задачи и функции на различных стадиях создания и эксплуатации определяются руководителями структурных подразделений Министерства, у которых находится информационная система, исходя из особенностей информационных систем.
9.2.Для выбора и реализации методов и способов защиты информации в информационной системе персональных данных Министерством может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
10.Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных
10.1.Персональная ответственность - одно из главных требований к организации функционирования в Министерстве системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.
10.2.Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.
10.3.Должностные лица Министерства, виновные в нарушении норм и требований действующего законодательства, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством.