Приказ от 24.06.2011 г № 34-НПА
Об утверждении Положения об обработке, использовании, хранении и защите персональных данных государственных гражданских служащих министерства финансов и налоговой политики Новосибирской области
В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" приказываю:
1.Утвердить прилагаемое Положение об обработке, использовании, хранении и защите персональных данных государственных гражданских служащих министерства финансов и налоговой политики Новосибирской области.
2.Признать утратившим силу приказ департамента финансов и налоговой политики Новосибирской области от 31.12.2008 N 772 "Об утверждении Положения о защите персональных данных работников департамента финансов и налоговой политики Новосибирской области".
3.Отделу правового и кадрового обеспечения довести настоящий приказ до сведения государственных гражданских служащих министерства финансов и налоговой политики Новосибирской области под роспись.
4.Контроль за исполнением настоящего приказа оставляю за собой.
Министр
Л.В.ГОРНИН
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ, ИСПОЛЬЗОВАНИИ, ХРАНЕНИИ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ МИНИСТЕРСТВА
ФИНАНСОВ И НАЛОГОВОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
1.Общие положения
1.1.Положение об обработке, использовании, хранении и защите персональных данных государственных гражданских служащих министерства финансов и налоговой политики Новосибирской области (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Федеральными законами от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон), от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела".
1.2.Целью настоящего Положения является обеспечение защиты прав и свобод государственных гражданских служащих министерства финансов и налоговой политики Новосибирской области при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3.Положение регулирует отношения, связанные с обработкой персональных данных, осуществляемой с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
1.4.Для целей Положения используются следующие основные понятия:
персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
персональные данные государственного гражданского служащего - информация, необходимая представителю нанимателя в связи со служебными отношениями и касающаяся конкретного государственного гражданского служащего;
оператор персональных данных - министерство финансов и налоговой политики Новосибирской области, в том числе лица, осуществляющие обработку персональных данных, определяющие цели и содержание обработки персональных данных, в соответствии с Перечнем лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных (далее - Перечень);
информационная система (далее - ИС) персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (автоматизированные информационные системы) (далее - АИС) или без использования таких средств;
обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
распространение персональных данных - действия, направленные на передачу персональных данных физических лиц определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
защита персональных данных - совокупность правовых, организационных и технических мер, направленных на обеспечение защиты персональных данных от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных; соблюдение конфиденциальности персональных данных; реализацию права на доступ к персональным данным.
1.5.К персональным данным государственного гражданского служащего, получаемым и подлежащим обработке, использованию, хранению и защите оператором персональных данных в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся следующие сведения и документы:
трудовая книжка и вкладыш к ней (при его наличии);
паспортные данные;
данные страхового свидетельства государственного пенсионного страхования;
данные документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
данные документов об образовании, квалификации, профессиональной переподготовке, повышении квалификации;
анкетные данные, указанные при поступлении на государственную гражданскую службу или в процессе ее прохождения (в том числе автобиография, сведения о семейном положении, наличии детей и иждивенцев);
медицинские документы;
данные об идентификационном номере налогоплательщика;
служебный контракт и дополнительные соглашения к нему (при их наличии);
приказы по личному составу, а также о премировании, поощрениях и взысканиях;
личные карточки по формам Т-2ГС, Т-2МС, Т-2ВУР;
документы о прохождении государственным гражданским служащим аттестации, квалификационного экзамена.
2.Обработка и использование персональных данных
2.1.Обработка персональных данных осуществляется оператором персональных данных исключительно в целях, заранее определенных и заявленных при сборе персональных данных, а также в целях реализации возложенных на него функций и должностных обязанностей, определяемых законами и иными нормативными правовыми актами в сфере обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.
2.2.Объем и характер обрабатываемых персональных данных должен соответствовать целям обработки персональных данных. Недопустима обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных. Недопустимо объединение созданных для несовместимых между собой целей баз данных ИС персональных данных.
2.3.Персональные данные оператор получает непосредственно от субъекта персональных данных, который принимает решение об их предоставлении и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В определенных Законом случаях (при обработке специальных категорий данных, биометрических данных) обработка этих данных осуществляется только с согласия в письменной форме субъекта персональных данных.
2.4.На обработку персональных данных субъекта персональных данных требуется его согласие, за исключением следующих случаев:
обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
2.5.Письменное согласие (приложение N 1 к настоящему Положению) субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва;
7) собственноручную подпись субъекта персональных данных.
2.6.Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.
2.7.Лица, доступ которых к персональным данным необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании Перечня, утвержденного оператором.
2.8.Оператором и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных Законом.
3.Обязанности оператора обработки персональных данных
3.1.Оператор обязан в случаях, предусмотренных Законом, сообщить субъекту персональных данных информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных на основании заявления субъекта персональных данных.
3.2.Оператор обязан при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 Закона.
3.3.Оператор обязан в случае, если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, до начала обработки таких персональных данных предоставить субъекту персональных данных следующую информацию:
наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
цель обработки персональных данных и ее правовое основание;
предполагаемые пользователи персональных данных;
установленные Законом права субъекта персональных данных.
3.4.Оператор не имеет права получать и обрабатывать персональные данные государственного гражданского служащего о его политических, религиозных и иных убеждениях, о его членстве в общественных объединениях или его профсоюзной деятельности, частной жизни.
3.5.Оператор обязан безвозмездно предоставлять субъекту персональных данных возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор уведомляет субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы.
3.6.В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
3.7.В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3.8.В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
3.9.Оператор обязан в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав физических лиц персональных данных, - также указанный орган.
3.10.Оператор обязан в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва.
3.11.Оператор при передаче персональных данных государственных гражданских служащих третьим лицам в порядке, установленном Положением, ограничивает передаваемую информацию только теми персональными данными, которые необходимы для выполнения третьими лицами своих функций. Передача персональных данных по телефону, факсимильной связи, электронной почте запрещается.
4.Права субъекта персональных данных
4.1.Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 статьи 14 Закона.
4.2.Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законом меры по защите своих прав.
4.3.Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
4.4.Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
4.5.Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в случаях, предусмотренных Законом.
4.6.Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
4.7.Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.Хранение и защита персональных данных
5.1.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Персональные данные подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.
5.2.Персональные данные хранятся на бумажных и электронных носителях, в несгораемых металлических шкафах.
5.3.Хранение трудовых книжек государственных гражданских служащих министерства финансов и налоговой политики Новосибирской области осуществляется в соответствии с Правилами ведения и хранения трудовых книжек, изготовления бланков трудовых книжек и обеспечения ими работодателей, утвержденными Постановлением Правительства Российской Федерации от 16.04.2003 N 225 "О трудовых книжках".
5.4.Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
5.5.Безопасность персональных данных при их обработке в информационных системах обеспечивается соблюдением надлежащих условий защиты персональных данных, включающих организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
5.6.Доступ к помещениям, а также к компьютерам, где обрабатываются персональные данные, лиц, не допущенных к работе с персональными данными, должен быть исключен, а компьютер - защищен аппаратными и программными средствами защиты от несанкционированного использования.
5.7.Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
5.8.Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
5.7.При обработке персональных данных в информационной системе должны быть обеспечены:
проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
своевременное обнаружение фактов несанкционированного доступа к персональным данным;
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за обеспечением уровня защищенности персональных данных.
5.8.Лица, уполномоченные осуществлять обработку персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность за защиту персональных данных в порядке, предусмотренном действующим законодательством Российской Федерации.