Приложение к Приказу от 03.09.2013 г № 466/01-07 Положение
Положение об обработке и защите персональных данных в министерстве образования пензенской области 1. термины и определения
1.1.В настоящем Положении об обработке и защите персональных данных в Министерстве образования Пензенской области (далее - Положение) используются основные понятия и термины, определенные Федеральными законами от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями), от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями).
2.Общие положения
2.1.Целью Положения является обеспечение защиты персональных данных в Министерстве образования Пензенской области (далее - Министерство) от несанкционированного доступа, неправомерного их использования или утраты.
2.2 Настоящее Положение устанавливает порядок обработки и защиты персональных данных в Министерстве.
2.3.Настоящее Положение разработано в соответствии с:
- Конституцией Российской Федерации;
- Трудовым Кодексом Российской Федерации;
- Кодексом об административных правонарушениях Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Уголовным кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями);
- Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями);
- постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (с последующими изменениями);
- специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30.08.2002 N 282 (с последующими изменениями).
2.4.Обработка персональных данных в Министерстве должна осуществляться на основе принципов, определенных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями).
2.5.Ответственным подразделением по разработке и выполнению мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Министерства, а также координации работ по защите конфиденциальной информации определен отдел кадровой политики и совершенствования педагогического корпуса Министерства.
2.6.Руководители структурных подразделений Министерства, производящих обработку персональных данных, являются ответственными за обработку и защиту персональных данных в своих подразделениях.
2.7.Согласно проведенному анализу в структурных подразделениях Министерства обработка персональных данных, содержащихся в информационных системах персональных данных либо извлеченных из таких систем, считается осуществляемой без использования средств автоматизации (неавтоматизированной), так как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека.
2.8.Методы и способы защиты информации, целесообразность их применения для обеспечения безопасности персональных данных в информационных системах, осуществляющих обработку персональных данных без использования средств автоматизации, определяются Министерством в соответствии с действующим законодательством.
2.9.Обработка персональных данных государственных гражданских служащих Министерства в отделе кадровой политики и совершенствования педагогического корпуса ведется согласно:
- Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями);
- Указу Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (с последующими изменениями);
- постановлению Губернатора Пензенской области от 15.05.2010 N 46 "Об организации работы с персональными данными государственных гражданских служащих Правительства Пензенской области и государственных гражданских служащих исполнительных органов государственной власти Пензенской области, назначаемых на должность и освобождаемых от должности Губернатором Пензенской области" (с последующими изменениями);
- постановлению Губернатора Пензенской области от 06.09.2010 N 86 "Об организации работы с персональными данными лиц, замещающих государственные должности Пензенской области, назначаемых на должность и освобождаемых от должности Губернатором Пензенской области" (с последующими изменениями);
- приказу Министерства образования Пензенской области от 09.10.2009 N 51-к/оп "О мерах по реализации Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями).
2.10.В структурных подразделениях Министерства, в части работы с обращениями граждан, порядок обработки и защиты персональных данных организуется в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (с последующими изменениями) и данным Положением.
2.11.Разработка систем защиты персональных данных в информационных системах Министерства, контроль за эксплуатацией информационных систем персональных данных осуществляется главным специалистом-экспертом отдела кадровой политики и совершенствования педагогического корпуса Министерства.
2.12.Настоящее Положение является обязательным для исполнения всеми работниками Министерства, имеющими доступ к персональным данным.
3.Порядок определения защищаемой информации
3.1.В Министерстве на основании Перечня сведений конфиденциального характера, утвержденного Указом Президента Российской Федерации от 06.03.1997 N 188 (с последующими изменениями), в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями), постановлением Правительства Пензенской области от 05.08.2008 N 485-пП "Об утверждении Положения о Министерстве образования Пензенской области" (с последующими изменениями), постановлением Правительства Пензенской области от 19.09.2006 N 1-26дсп "Об утверждении документов, регламентирующих порядок обращения со служебной информацией конфиденциального характера в исполнительных органах государственной власти Пензенской области" (с последующими изменениями) определен и утвержден сводный перечень сведений конфиденциального характера и документов, их содержащих.
4.Условия сбора и обработки персональных данных
4.1.Сбор персональных данных может осуществляться как путем представления их самим субъектом, так и путем получения из иных источников. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники, допущенные к обработке персональных данных, должны сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
4.2.Обработка персональных данных в Министерстве должна осуществляться с согласия субъектов персональных данных по формам согласно приложению N 1 (для государственных гражданских служащих Министерства) и приложению N 2 (для иных лиц - граждан, юридических лиц) к настоящему Положению или сформированных в информационной системе персональных данных, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями).
4.3.Министерству запрещается получать, обрабатывать не установленные федеральными законами персональные данные субъекта о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах. Обработка указанных персональных данных возможна только с письменного согласия либо в случаях, предусмотренных федеральными законами.
4.4.Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.
4.5.Государственные гражданские служащие Министерства, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме, согласно приложению N 3 к настоящему Положению.
5.Хранение, использование и уничтожение
персональных данных
5.1.Согласно Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (с последующими изменениями) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.2.Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
5.3.Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.4 Перечень должностных лиц Министерства, допущенных к пользованию личными делами, которые ведутся отделом кадровой политики и совершенствования педагогического корпуса Министерства, определяется приказом Министерства.
5.5.Руководители структурных подразделений Министерства, в чьем ведении находятся информационные системы персональных данных, определяют гражданских служащих Министерства, ответственных за обработку и обеспечение безопасности персональных данных в структурном подразделении, и представляют списки данных лиц в отдел кадровой политики и совершенствования педагогического корпуса Министерства. Список лиц, ответственных за обработку персональных данных, утверждается приказом Министерства.
5.6.Право доступа к персональным данным субъекта внутри Министерства имеют:
- Министр образования Пензенской области;
- Первый заместитель Министра образования Пензенской области;
- Заместители Министра образования Пензенской области;
- руководители структурных подразделений по направлению деятельности (доступ к персональным данным только государственных гражданских служащих своего подразделения);
- при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель подразделения, в которое переведен сотрудник;
- сам субъект персональных данных;
- государственные гражданские служащие Министерства, допущенные к работе с персональными данными, при выполнении ими своих служебных обязанностей.
6.Передача персональных данных субъектов
6.1.Передача персональных данных субъекта возможна только с согласия субъекта или в случаях, предусмотренных законодательством.
6.2.При передаче персональных данных субъекта уполномоченные Министерством государственные гражданские служащие должны соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, установленных федеральным законом;
- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
- не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовых функций;
- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим защиты персональных данных;
- передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций.
6.3.Передача персональных данных от Министерства или его представителей внешнему оператору допускается в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
6.4.Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.
7.Права субъектов по обеспечению защиты персональных
данных, хранящихся в Министерстве образования
Пензенской области
7.1.В целях защиты персональных данных, хранящихся в Министерстве, субъект имеет право:
- на полную информацию о своих персональных данных и обработке этих данных;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового Кодекса Российской Федерации или иного федерального закона;
- дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законодательством;
- требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
8.Требования к обработке и защите персональных данных
в информационных системах Министерства образования
Пензенской области
8.1.Обработка персональных данных без использования средств автоматизации в структурных подразделениях Министерства организуется на основании постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
8.2.Защита персональных данных, осуществляемая в структурных подразделениях Министерства, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были выполнены следующие требования:
- определены места хранения персональных данных (материальных носителей),
- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
8.3.Применяемые меры по защите персональных данных в структурных подразделениях Министерства должны быть направлены на:
- ограничение доступа персонала и посторонних лиц в помещения, где размещены информационные системы персональных данных и хранятся материальные носители персональных данных;
- организацию учета и надежного хранения материальных носителей персональных данных, их обращения, исключающую хищение, подмену и уничтожение;
- размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр.
8.4.Обработка персональных данных на базе автономных персональных электронно-вычислительных машин (далее - ПЭВМ) в структурных подразделениях Министерства должна быть основана на технологии обработки информации с использованием съемных накопителей информации большой емкости, которая предусматривает запись на съемный накопитель прикладного программного обеспечения (или его части) и обрабатываемых персональных данных. В качестве устройств для работы по этой технологии могут быть использованы как встроенные (съемные), так и выносные накопители на магнитных, магнитооптических дисках различной конструкции. Одновременно может быть установлено несколько съемных накопителей информации большой емкости.
8.5.Порядок защиты персональных данных на базе автономных ПЭВМ в структурных подразделениях Министерства определен пунктом 5.5 "Специальных требований и рекомендаций по технической защите конфиденциальной информации", утвержденных приказом Гостехкомиссии России от 30.08.2002 N 282 (с последующими изменениями).
9.Порядок привлечения специализированных сторонних
организаций к разработке информационных систем персональных
данных и средств защиты информации Министерства
образования Пензенской области
9.1.Порядок привлечения специализированных сторонних организаций к разработке и эксплуатации новых информационных систем персональных данных, их задачи и функции на различных стадиях создания и эксплуатации определяются руководителями структурных подразделений Министерства, у которых находится информационная система, исходя из особенностей информационных систем и по согласованию с главным специалистом-экспертом отдела кадровой политики и совершенствования педагогического корпуса Министерства.
9.2.Для выбора и реализации методов и способов защиты информации в информационной системе Министерством может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
10.Ответственность за нарушение норм, регулирующих
получение, обработку и защиту персональных данных
10.1.Персональная ответственность - одно из главных требований к организации функционирования в Министерстве системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.
10.2.Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.
10.3.Должностные лица Министерства, виновные в нарушении норм и требований действующего законодательства, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством.