Приказ от 10.04.2014 г № 46

О мерах по реализации постановления Правительства Российской Федерации от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»


В соответствии с постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1.Утвердить прилагаемые:
Правила обработки персональных данных в департаменте социальной защиты населения Кемеровской области;
Правила рассмотрения запросов субъектов персональных данных или их представителей;
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента социальной защиты населения Кемеровской области;
Правила работы с обезличенными данными;
Перечень информационных систем персональных данных;
Перечни персональных данных, обрабатываемых в департаменте социальной защиты населения Кемеровской области в связи с реализацией служебных или трудовых отношений, а также в связи с предоставлением государственных услуг и исполнением государственных функций;
Перечень должностей служащих департамента социальной защиты населения Кемеровской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
Перечень должностей служащих департамента социальной защиты населения Кемеровской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
Типовое обязательство служащего (работника) департамента социальной защиты населения Кемеровской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
Типовую форму согласия на обработку персональных данных служащих департамента социальной защиты населения Кемеровской области, иных субъектов персональных данных;
Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в связи с поступлением на государственную гражданскую службу Кемеровской области в департамент социальной защиты населения Кемеровской области, ее прохождением и увольнением с государственной гражданской службы Кемеровской области;
Типовую форму разъяснения субъекту персональных данных юридических последствий отказа представить свои персональные данные в связи с поступлением на работу или выполнением работы в департаменте социальной защиты населения Кемеровской области;
Порядок доступа служащих и работников департамента социальной защиты населения Кемеровской области в помещения, в которых ведется обработка персональных данных.
2.Признать утратившим силу приказ департамента социальной защиты населения Кемеровской области от 27.05.2009 N 113 "Об утверждении положения о защите персональных данных".
3.Отделу кадровой работы (А.С.Горчакова) довести настоящий приказ под роспись до государственных гражданских служащих и работников департамента социальной защиты населения Кемеровской области.
4.Отделу программного обеспечения отрасли и технического обслуживания (А.Г.Королик) обеспечить размещение настоящего приказа на сайте "Электронный бюллетень Коллегии Администрации Кемеровской области" и на официальном сайте департамента социальной защиты населения Кемеровской области в течение 10 дней со дня его подписания.
5.Контроль за исполнением настоящего приказа оставляю за собой.
Начальник департамента
Н.Г.КРУГЛЯКОВА
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ДЕПАРТАМЕНТЕ СОЦИАЛЬНОЙ
ЗАЩИТЫ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ
1.Общие положения
1.1.Правила обработки персональных данных в департаменте социальной защиты населения Кемеровской области (далее - Правила) определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации и Кемеровской области в области персональных данных в департаменте социальной защиты населения Кемеровской области (далее - департамент).
1.2.Настоящие Правила определяют политику департамента как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.3.Настоящие Правила разработаны в соответствии с Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.05.2003 N 58-ФЗ "О системе государственной службы Российской Федерации" (далее - Федеральный закон "О системе государственной службы Российской Федерации"), Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" (далее - Федеральный закон "О государственной гражданской службе Российской Федерации"), Федеральным законом от 25.12.2008 N 273-ФЗ "О противодействии коррупции" (далее - Федеральный закон "О противодействии коррупции"), Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - Федеральный закон "Об организации предоставления государственных и муниципальных услуг"), Федеральным законом от 02.09.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации"), Законом Кемеровской области от 01.08.2005 N 103-ОЗ "О государственных должностях Кемеровской области и государственной гражданской службе Кемеровской области" и другими нормативными правовыми актами Российской Федерации и Кемеровской области.
1.4.Обработка персональных данных в департаменте осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящими Правилами.
2.Условия и порядок обработки персональных данных государственных гражданских служащих департамента, работников департамента не являющихся государственными гражданскими служащими
2.1.Персональные данные государственных гражданских служащих департамента (далее - государственные служащие), работников департамента не являющихся государственными служащими, граждан, претендующих на замещение должностей государственной гражданской службы (далее - граждане, претендующие на замещение должностей государственной службы), лиц, замещающих должности руководителей подведомственных департаменту государственных учреждений, а также граждан, претендующих на замещение должностей, не относящихся к должностям государственной гражданской службы, руководителей подведомственных департаменту государственных учреждений, обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия государственным служащим в прохождении государственной службы, формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, учета результатов исполнения государственными служащими должностных обязанностей, обеспечения государственным служащим установленных законодательством Российской Федерации и Кемеровской области условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.
2.2.В целях, указанных в пункте 2.1 настоящих Правил, обрабатываются следующие категории персональных данных лиц, указанных в пункте 2.1 настоящих Правил:
2.2.1.фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2.2.2.число, месяц, год рождения;
2.2.3.место рождения;
2.2.4.информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
2.2.5.вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
2.2.6.адрес места жительства (адрес регистрации, фактического проживания);
2.2.7.номер контактного телефона или сведения о других способах связи;
2.2.8.реквизиты страхового свидетельства государственного пенсионного страхования;
2.2.9.идентификационный номер налогоплательщика;
2.2.10.реквизиты страхового медицинского полиса обязательного медицинского страхования;
2.2.11.реквизиты свидетельства государственной регистрации актов гражданского состояния;
2.2.12.семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
2.2.13.сведения о трудовой деятельности;
2.2.14.сведения о воинском учете и реквизиты документов воинского учета;
2.2.15.сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
2.2.16.сведения об ученой степени;
2.2.17.информация о владении иностранными языками, степень владения;
2.2.18.медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
2.2.19.фотография;
2.2.20.сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;
2.2.21.информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
2.2.22.сведения о пребывании за границей;
2.2.23.информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
2.2.24.информация о наличии или отсутствии судимости;
2.2.25.информация об оформленных допусках к государственной тайне;
2.2.26.государственные награды, иные награды и знаки отличия;
2.2.27.сведения о профессиональной переподготовке и (или) повышении квалификации;
2.2.28.информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
2.2.29.сведения о доходах (расходах), об имуществе и обязательствах имущественного характера;
2.2.30.иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.1 настоящих Правил.
2.3.Обработка персональных данных и биометрических персональных данных лиц, указанных в пункте 2.1 настоящих Правил, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 2.1 настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона "О персональных данных" и положениями Федерального закона "О системе государственной службы Российской Федерации", Федерального закона "О государственной гражданской службе Российской Федерации", Федерального закона "О противодействии коррупции", Трудовым кодексом Российской Федерации.
2.4.Обработка специальных категорий персональных данных лиц, указанных в пункте 2.1 настоящих Правил, осуществляется без их согласия в рамках целей, определенных пунктом 2.1 настоящих Правил, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона "О персональных данных" и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны (в соответствии с пунктом 3 статьи 86 Трудового кодекса Российской Федерации требуется письменное согласие руководителей подведомственных департаменту государственных учреждений и граждан, претендующих на замещение указанной должности).
2.5.Обработка персональных данных лиц, указанных в пункте 2.1 настоящих Правил, осуществляется при условии получения их согласия в следующих случаях:
при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации и Кемеровской области о государственной гражданской службе;
при трансграничной передаче персональных данных;
при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
2.6.В случаях, предусмотренных пунктом 2.5 настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".
2.7.Обработка персональных данных лиц, указанных в пункте 2.1 настоящих Правил, осуществляется отделом кадровой работы департамента (далее - кадровое подразделение) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.8.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных лиц, указанных в пункте 2.1 настоящих Правил, осуществляется путем:
получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кадровое подразделение);
копирования оригиналов документов;
внесения сведений в учетные формы (на бумажных и электронных носителях);
формирования персональных данных в ходе кадровой работы;
внесения персональных данных в информационные системы, используемые кадровым подразделением (при наличии информационных систем).
2.9.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от лиц, указанных в пункте 2.1 настоящих Правил.
2.10.В случае возникновения необходимости получения персональных данных лиц, указанных в пункте 2.1 настоящих Правил, следует известить их об этом, получить их согласие на обработку персональных данных в соответствии с типовой формой утвержденной департаментом и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.
2.11.Запрещается получать, обрабатывать и приобщать к личному делу лиц, указанных в пункте 2.1 настоящих Правил, персональные данные, не предусмотренные пунктом 2.2 настоящих Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
2.12.При сборе персональных данных сотрудник кадрового подразделения, осуществляющий сбор (получение) персональных данных непосредственно от лиц, указанных в пункте 2.1 настоящих Правил, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные в соответствии с типовой формой утвержденной департаментом.
2.13.Передача (распространение, предоставление) и использование персональных данных лиц, указанных в пункте 2.1 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
3.Условия и порядок обработки персональных данных субъектов в связи с предоставлением государственных услуг и исполнением государственных функций
3.1.В департаменте обработка персональных данных физических лиц осуществляется в целях предоставления следующих государственных услуг и исполнения государственных функций:
3.1.1.Организация приема граждан, обеспечение своевременного и в полном объеме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции департамента.
3.1.2.Назначение, перерасчет размера, выплата пенсии за выслугу лет лицам, замещавшим государственные должности Кемеровской области, и должности государственной гражданской службы Кемеровской области, а также лицам, работавшим в органах государственной власти и управления, общественных и политических организациях Кемеровской области.
3.1.3.Назначение и выплата ежемесячной доплаты к пенсии гражданам, входящим в состав совета старейшин при Губернаторе Кемеровской области.
3.1.4.Зачисление на социальное обслуживание отдельных категорий населения в областные государственные стационарные учреждения социального обслуживания населения.
3.1.5.Осуществление финансового контроля в государственной системе социальных служб Кемеровской области, а также контроля исполнения органами местного самоуправления Кемеровской области отдельных государственных полномочий в сфере социальной поддержки и социального обслуживания населения.
3.2.Персональные данные граждан, обратившихся в департамент лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.
В соответствии с законодательством в департаменте подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.
3.3.В рамках рассмотрения обращений граждан подлежат обработке следующие персональные данные заявителей:
фамилия, имя, отчество (последнее при наличии);
почтовый адрес;
адрес электронной почты;
указанный в обращении контактный телефон;
иные персональные данные, указанные заявителем в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
3.4.При предоставлении государственной услуги по назначению, перерасчету размера, выплате пенсии за выслугу лет лицам, замещавшим государственные должности Кемеровской области, и должности государственной гражданской службы Кемеровской области, а также лицам, работавшим в органах государственной власти и управления, общественных и политических организациях Кемеровской области осуществляется обработка следующих персональных данных заявителей:
фамилия, имя, отчество (последнее при наличии);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);
номер контактного телефона или сведения о других способах связи;
номер счета заявителя, открытого в кредитном учреждении;
информация, содержащаяся в справке, выданной органом, осуществляющим пенсионное обеспечение о виде и размере пенсии;
сведения о периоде замещения государственной должности Кемеровской области и (или) должностей государственной гражданской службы Кемеровской области;
информация о размере денежного вознаграждения лица, замещающего государственную должность Кемеровской области или денежного содержания государственного гражданского служащего.
3.5.При предоставлении государственной услуги по назначению и выплате ежемесячной доплаты к пенсии гражданам, входящим в состав совета старейшин при Губернаторе Кемеровской области осуществляется обработка следующих персональных данных заявителей:
фамилия, имя, отчество (последнее при наличии);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);
номер контактного телефона или сведения о других способах связи;
информация, содержащаяся в справке, выданной органом, осуществляющим пенсионное обеспечение, о виде и размере пенсии;
номер счета заявителя, открытого в кредитном учреждении.
3.6.При предоставлении государственной услуги по зачислению на социальное обслуживание отдельных категорий населения в областные государственные стационарные учреждения социального обслуживания населения осуществляется обработка следующих персональных данных заявителей:
фамилия, имя, отчество (последнее при наличии);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);
номер контактного телефона или сведения о других способах связи;
информация, содержащаяся в пенсионном удостоверении;
информация, содержащаяся в справке, выданной органом, осуществляющим пенсионное обеспечение, о виде и размере пенсии;
информация, содержащаяся в справке о доходах трудоспособных родственников (супруга (супруг), родители, дети) гражданина за три месяца, предшествующих месяцу обращения;
информация, содержащаяся в справке органов местного самоуправления или организации жилищно-коммунального хозяйства независимо от их организационно-правовой формы о составе семьи с указанием даты рождения каждого члена семьи и родственных отношений;
информация, содержащаяся в медицинской карте, содержащей письменные заключения специалистов: терапевта, невропатолога, психиатра, онколога, дерматолога, окулиста, хирурга, фтизиатра, отоларинголога, логопеда (для детей), эндокринолога, стоматолога и других врачей (по показаниям), необходимые для оценки состояния здоровья гражданина (с указанием жалоб, анамнеза и объективного осмотра, тяжести состояния, способности к передвижению, получаемого и рекомендуемого лечения);
информация, содержащаяся в справке клинико-экспертной комиссии психоневрологического учреждения системы здравоохранения с указанием вида учреждения;
информация, содержащаяся в заключении психолого-медико-педагогической комиссии (представляется в случае направления в дом-интернат для умственно отсталых детей);
информация, содержащаяся в документе о закреплении жилой площади (для детей-сирот и детей, оставшихся без попечения родителей);
информация, содержащаяся в справке, подтверждающей факт установления инвалидности, выданная федеральным государственным учреждением медико-социальной экспертизы (представляется только инвалидами);
информация, содержащаяся в решении суда о признании гражданина недееспособным (для лиц, признанных недееспособными);
информация, содержащаяся в решении суда о лишении родительских прав и взыскании алиментов (для детей, оставшихся без попечения родителей);
информация, содержащаяся в свидетельстве о смерти родителей (для детей-сирот);
информация, содержащаяся в индивидуальной программе реабилитации (для инвалидов);
информация, содержащаяся в справке, свидетельстве, удостоверении или ином документе установленного образца о праве на льготы в соответствии с действующим законодательством;
информация, содержащаяся в решении органа опеки и попечительства:
о направлении несовершеннолетних в детские дома-интернаты для умственно отсталых детей, снятии опекунских обязанностей с конкретного лица (при наличии такового) и принятых мерах по охране имущественных интересов;
о направлении граждан, признанных в установленном законом порядке недееспособными, в психоневрологические интернаты, снятии опекунских обязанностей с конкретного лица (при наличии такового) и принятых мерах по охране имущественных интересов;
о направлении граждан по основаниям, предусмотренным действующим законодательством, в специальное стационарное учреждение социального обслуживания.
3.7.При исполнении государственных функций по осуществлению финансового контроля в государственной системе социальных служб Кемеровской области, а также контроля исполнения органами местного самоуправления Кемеровской области отдельных государственных полномочий в сфере социальной поддержки и социального обслуживания населения осуществляется обработка следующих персональных данных:
фамилия, имя, отчество (последнее при наличии);
иные персональные данные, ставшие известными в ходе исполнения государственной функции.
3.8.Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, указанных в пункте 3.1 настоящих Правил, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных", федеральными законами "Об организации предоставления государственных и муниципальных услуг", "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, определяющими предоставление государственных услуг и исполнение государственных функций в департаменте.
3.9.Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, указанных в пункте 3.1 настоящих Правил, осуществляется структурными подразделениями департамента, предоставляющими соответствующие государственные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
3.10.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в департамент для получения государственной услуги или в целях исполнения государственной функции, осуществляется путем:
получения оригиналов необходимых документов; заверения копий документов;
внесения сведений в учетные формы (на бумажных и электронных носителях).
3.11.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).
3.12.При предоставлении государственной услуги или исполнении государственной функции запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.
3.13.При сборе персональных данных уполномоченное должностное лицо структурного подразделения департамента, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги или в связи с исполнением государственной функции, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
3.14.Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
4.Порядок обработки персональных данных субъектов персональных данных в информационных системах
4.1.Обработка персональных данных в департаменте осуществляется:
4.1.1.В информационной системе персональных данных "Бухгалтерия - кадры" в целях обеспечения соблюдения трудового и финансового законодательства, законодательства о государственной гражданской службе.
4.1.2.В информационной системе персональных данных "Осуществление отдельных государственных полномочий в сфере социальной поддержки и социального обслуживания граждан" в целях организации предоставления мер социальной поддержки и социального обслуживания, предусмотренных законодательством Российской Федерации и Кемеровской области.
4.2.Информационная система персональных данных "Бухгалтерия - кадры" содержит персональные данные, указанные в пункте 2.2 настоящих Правил.
4.3.Информационная система персональных данных "Осуществление отдельных государственных полномочий в сфере социальной поддержки и социального обслуживания граждан" содержит персональные данные, указанные в пунктах 3.2 - 3.7 настоящих Правил.
4.4.Классификация информационных систем персональных данных, указанных в пункте 4.1 настоящих Правил, осуществляется в порядке, установленном законодательством.
4.5.Государственным служащим, имеющим право осуществлять обработку персональных данных в информационных системах департамента, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами государственных служащих.
4.6.Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
4.7.Структурное подразделение департамента, ответственное за обеспечение информационной безопасности в департаменте, организует и контролирует ведение учета материальных носителей персональных данных.
4.8.Структурное подразделение департамента, ответственное за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных, должно обеспечить:
своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в департаменте и начальника департамента;
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за обеспечением уровня защищенности персональных данных;
знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
4.9.Структурное подразделение департамента, ответственное за обеспечение функционирования информационных систем персональных данных, принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
4.10.Обмен персональными данными при их обработке в информационных системах персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
4.11.Доступ государственных служащих к персональным данным, находящимся в информационных системах персональных данных, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
4.12.В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
5.Сроки обработки и хранения персональных данных
5.1.Сроки обработки и хранения персональных данных лиц, указанных в пункте 2.1 настоящих Правил, определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства, устанавливаются следующие сроки обработки и хранения персональных данных государственных служащих:
5.1.1.Персональные данные, содержащиеся в приказах по личному составу (о приеме, о переводе, об увольнении, об установлении надбавок и т.д.) хранятся в архиве департамента в течение 75 лет.
5.1.2.Персональные данные, содержащиеся в личных делах, а также личных карточках, хранятся в архиве департамента в течение 75 лет.
5.1.3.Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, подлежат хранению в кадровом подразделении в течение пяти лет с последующим уничтожением.
5.1.4.Персональные данные, содержащиеся в документах претендентов в кадровый резерв государственной гражданской службы департамента, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в кадровом подразделении в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.
5.2.Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в департамент в связи с получением государственных услуг и исполнением государственных функций, указанных в пункте 3.1 настоящих Правил, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
5.3.Персональные данные граждан, обратившихся в департамент лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
5.4.Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением департаментом государственных услуг и исполнением государственных функций, хранятся на бумажных носителях в структурных подразделениях департамента, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с утвержденными положениями о соответствующих структурных подразделениях департамента.
5.5.Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
5.6.Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений департамента.
5.7.Срок хранения персональных данных, внесенных в информационные системы персональных данных департамента, указанные в пункте 4.1 настоящих Правил, должен соответствовать сроку хранения бумажных оригиналов.
6.Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
6.1.Документы, содержащие персональные данные, с истекшими сроками хранения, подлежат уничтожению.
6.2.Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии департамента (далее - комиссия), состав которой утверждается департаментом.
По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами комиссии и утверждается начальником департамента.
6.3.Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
ПРАВИЛА
РАССМОТРЕНИЕ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
1.Государственные гражданские служащие департамента социальной защиты населения Кемеровской области (далее - департамент), работники не являющиеся государственными гражданскими служащими, граждане, претендующие на замещение должностей государственной гражданской службы, лица, замещающие должности руководителей подведомственных департаменту государственных учреждений, граждане, претендующие на замещение должностей руководителей подведомственных департаменту государственных учреждений, граждане, претендующих на замещение должностей, не относящихся к должностям государственной гражданской службы, а также граждане, персональные данные которых обрабатываются в департаменте в связи с предоставлением государственных услуг и исполнением государственных функций, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1.1.Подтверждение факта обработки персональных данных в департаменте.
1.2.Правовые основания и цели обработки персональных данных.
1.3.Применяемые способы обработки персональных данных.
1.4.Наименование и место нахождения департамента, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона.
1.5.Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом.
1.6.Сроки обработки персональных данных, в том числе сроки их хранения.
1.7.Порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных.
1.8.Информацию об осуществленной или предполагаемой трансграничной передаче данных.
1.9.Наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению департамента, если обработка поручена или будет поручена такой организации или лицу.
1.10.Иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
2.Лица, указанные в пункте 1 настоящих Правил (далее - субъекты персональных данных), а также их представители имеют право на ознакомление с персональными данными, относящимися к соответствующему субъекту персональных данных, при обращении в департамент, либо в течение тридцати дней с даты получения департаментом соответствующего запроса.
3.Субъекты персональных данных, вправе требовать уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, неактуальными, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.Сведения, указанные в подпунктах 1.1 - 1.10 пункта 1 настоящих Правил, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
5.Сведения, указанные в подпунктах 1.1 - 1.10 пункта 1 настоящих Правил, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом структурного подразделения департамента, осуществляющего обработку соответствующих персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:
5.1.Номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе.
5.2.Сведения, подтверждающие участие субъекта персональных данных в правоотношениях с департаментом (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей государственной гражданской службы, предоставление департаментом государственной услуги или исполнение государственной функции), либо сведения, иным образом подтверждающие факт обработки персональных данных в департаменте, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством.
6.В случае, если сведения, указанные в подпунктах 1.1 - 1.10 пункта 1 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в департамент или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
7.Субъект персональных данных вправе обратиться повторно в департамент или направить повторный запрос в целях получения сведений, указанных в подпунктах 1.1 - 1.10 пункта 1 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 6 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 5 настоящих Правил, должен содержать обоснование направления повторного запроса.
8.Департамент вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 6 - 7 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на департаменте.
9.Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ДЕПАРТАМЕНТА
СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ
1.Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами департамента социальной защиты населения Кемеровской области (далее - Правила), определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания и порядок проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте социальной защиты населения Кемеровской области (далее - внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных).
2.В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона "О персональных данных".
3.В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в департаменте социальной защиты населения Кемеровской области (далее - департамент) организовывается проведение периодических проверок условий обработки персональных данных (далее - проверки).
4.Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в департаменте (далее - ответственный за организацию обработки персональных данных), либо комиссией, образуемой правовым актом департамента.
В проведении проверки не может участвовать служащий департамента, прямо или косвенно заинтересованный в ее результатах.
5.Проверки проводятся на основании утвержденного начальником департамента плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных (плановые проверки) или на основании поступившего в департамент письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
6.Проведение внеплановой проверки организуется в течение семи рабочих дней с момента поступления в департамент соответствующего заявления.
7.При проведении проверки должны быть полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
8.Ответственный за организацию обработки персональных данных или комиссия имеет право:
запрашивать у работников департамента информацию, необходимую для реализации полномочий;
требовать от лиц, уполномоченных на обработку персональных данных в департаменте уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства;
вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства о персональных данных.
9.В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в департаменте либо комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
10.По результатам проведения проверки оформляется акт проверки, который подписывается ответственным за организацию обработки персональных данных или членами комиссии.
Срок проведения проверки и оформления акта составляет тридцать календарных дней со дня начала проверки, указанного в правовом акте о назначении проверки.
11.О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, ответственный за организацию обработки персональных данных либо председатель комиссии информирует начальника департамента.
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ
1.Настоящие Правила работы с обезличенными персональными данными в департаменте социальной защиты населения Кемеровской области (далее - Правила) определяют порядок обезличивания персональных данных и порядок работы с обезличенными персональными данными.
2.Обезличивание персональных данных проводится с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных оператора и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
3.Способами обезличивания персональных данных при условии дальнейшей обработки персональных данных являются:
уменьшение перечня обрабатываемых сведений; замена части сведений идентификаторами;
обобщение - понижение точности некоторых сведений (например, "место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
деление сведений на части и обработка в разных информационных системах;
другие способы, позволяющие сделать невозможным определение принадлежности персональных данных конкретному субъекту персональных данных.
4.Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
5.Предложения по обезличиванию персональных данных, содержащие обоснование такой необходимости и способ обезличивания, вносят руководители структурных подразделений и иные должностные лица департамента социальной защиты населения Кемеровской области (далее -департамент), ответственные за организацию работы с персональными данными.
Решение о необходимости обезличивания персональных данных принимает начальник департамента.
6.Служащие департамента, ответственные за проведение мероприятий по обезличиванию обрабатываемых персональных данных и осуществляющие обработку персональных данных в информационных системах персональных данных, на основании решения начальника департамента о необходимости обезличивания персональных данных, осуществляют непосредственное обезличивание персональных данных выбранным способом.
7.Обезличенные персональные данные не подлежат разглашению.
8.Обезличенные персональные данные могут обрабатываться с использованием средств автоматизации или без использования таких средств.
9.При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
парольной политики; антивирусной политики;
правил работы со съемными носителями (если они используются); правил резервного копирования;
правил доступа в помещения, где расположены элементы информационных систем.
10.При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
правил хранения бумажных носителей;
правил доступа к ним и в помещения, где они хранятся.
11.Обезличивание персональных данных при обработке персональных данных с использованием средств автоматизации осуществляется с помощью специализированного программного обеспечения на основании нормативных правовых актов, правил, инструкций, руководств, регламентов, инструкций на такое программное обеспечение и иных документов для достижения заранее определенных и заявленных целей.
12.Обезличивание персональных данных при обработке персональных данных без использования средств автоматизации допускается производить способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
13.Операции по обезличиванию или деобезличиванию персональных данных отражаются в соответствующем журнале учета, который ведется по форме согласно приложению к настоящим Правилам.