ДЕПАРТАМЕНТ ТОПЛИВНО-ЭНЕРГЕТИЧЕСКОГО КОМПЛЕКСА
ВОЛОГОДСКОЙ ОБЛАСТИ
ПРИКАЗ
от 11 марта 2011 г. № 13-О
О ПОРЯДКЕ ОБРАБОТКИ И ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ДЕПАРТАМЕНТЕ
В соответствии с Федеральными законами от 27 июля 2006 года № 152-ФЗ "О персональных данных", от 2 мая 2006 года № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Трудовым кодексом Российской Федерации, Указами Президента Российской Федерации от 2 марта 1994 года № 442 "Об утверждении положения о государственных наградах Российской Федерации", от 30 мая 2005 года № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлениями Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 17 ноября 2007 года № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" приказываю:
1. Утвердить Положение
о порядке обработки и защите персональных данных в Департаменте топливно-энергетического комплекса Вологодской области (прилагается).
2. Отделу организационной, правовой и кадровой работы Департамента:
подготовить проект приказа Департамента, определяющего перечень лиц, осуществляющих обработку персональных данных физических лиц, представляемых в Департамент;
провести мероприятия по приведению в соответствие с требованиями настоящего Положения
обработки персональных данных в информационных системах персональных данных;
обеспечить внесение соответствующих изменений в должностные регламенты государственных гражданских служащих, уполномоченных на обработку персональных данных.
Исполняющий обязанности
начальника Департамента
Н.А.ПОТАПОВ
Утверждено
Приказом
Департамента
от 11 марта 2011 г. № 13-О
(приложение)
ПОЛОЖЕНИЕ
О ПОРЯДКЕ ОБРАБОТКИ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ДЕПАРТАМЕНТЕ ТОПЛИВНО-ЭНЕРГЕТИЧЕСКОГО КОМПЛЕКСА
ВОЛОГОДСКОЙ ОБЛАСТИ (ДАЛЕЕ - ПОЛОЖЕНИЕ)
Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2006 года № 152-ФЗ "О персональных данных", от 2 мая 2006 года № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Трудовым кодексом Российской Федерации, Указами Президента Российской Федерации от 2 марта 1994 года № 442 "О государственных наградах Российской Федерации", от 30 мая 2005 года № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлениями Правительства Российской Федерации от 2 марта 1994 года № 442 "О государственных наградах Российской Федерации", от 30 мая 2005 года № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлениями Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 17 ноября 2007 года № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
1. Общие положения
1.1. Положение определяет:
правила обработки персональных данных в информационных системах персональных данных Департамента топливно-энергетического комплекса области (далее - Департамент) с использованием средств автоматизации и без их использования;
комплекс организационных и технических мероприятий, направленных на обеспечение режима конфиденциальности персональных данных граждан, претендующих на замещение должностей государственной гражданской службы области, иных должностей в Департаменте, лиц, замещающих данные должности, а также иных физических лиц, персональные данные которых представлены в Департамент (далее - субъекты персональных данных).
1.2. В настоящем Положении используются термины и определения, установленные в Федеральном законе Российской Федерации от 27 июля 2006 года № 152-ФЗ "О персональных данных".
1.3. Персональные данные субъектов персональных данных являются сведениями конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениями, составляющими государственную тайну.
1.4. Оператором информационных систем персональных данных в Департаменте, организующим и осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных, является Департамент топливно-энергетического комплекса области. Функции оператора возлагаются на отдел организационной, правовой и кадровой работы Департамента, а также на ведущего консультанта (главного бухгалтера) Департамента, осуществляющих деятельность по эксплуатации информационных систем персональных данных.
1.5. Оператор обязан принимать необходимые организационные и технические меры по обеспечению режима конфиденциальности обрабатываемых персональных данных, а также меры по защите персональных данных от несанкционированного уничтожения, изменения, блокирования и иных неправомерных действий.
1.6. Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.
2. Требования безопасности информации в информационных
системах персональных данных Департамента
2.1. Персональные данные субъектов персональных данных в Департаменте обрабатываются на бумажных и электронных носителях в специально предназначенных для этого помещениях, занимаемых структурными подразделениями Департамента, осуществляющими деятельность по эксплуатации информационных систем персональных данных.
2.2. Обязанности по обработке персональных данных, в том числе в автоматизированных информационных системах персональных данных, возлагаются на государственных гражданских служащих Департамента в соответствии с приказами начальника Департамента, служебными контрактами, заключаемыми с ними, и должностными регламентами.
2.3. Обработка персональных данных, порождающая юридические последствия в отношении субъекта персональных данных или иным образом затрагивающая его права и законные интересы, осуществляется без использования средств автоматизации. Обработка персональных данных в отношении каждого из субъектов персональных данных осуществляется при непосредственном участии лица, определенного в соответствии с пунктом 2.2 настоящего Положения.
2.4. В целях обеспечения безопасности персональных данных при их обработке должны быть:
- определены места хранения материальных носителей, содержащих персональные данные, соблюдены условия, обеспечивающие их сохранность и исключающие несанкционированный к ним доступ, в том числе с использованием сейфов, шкафов и применением пожарной сигнализации;
- установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- реализованы меры по раздельному хранению персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
2.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
2.6. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
утвержденных организационно-технических документов, установленных нормативно-правовыми актами в области защиты информации;
настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации, установленными уполномоченными федеральными органами исполнительной власти.
3. Порядок обработки персональных
данных субъектов персональных данных
3.1. Обработка персональных данных лиц, претендующих на замещение должностей государственной гражданской службы области, иных должностей в Департаменте, и лиц, замещающих данные должности, осуществляется в следующем порядке:
3.1.1. Материальные носители, содержащие сведения, относящиеся к персональным данным, должны храниться в сейфах или шкафах, запирающихся на ключ. Ключи от сейфов и шкафов находятся у ответственных государственных гражданских служащих, осуществляющих обработку персональных данных, и не подлежат передаче не уполномоченным на то лицам.
Сейфы (металлические шкафы) с личными делами, трудовыми книжками и иными документами, содержащими персональные данные, находятся в кабинетах, которые ежедневно после окончания рабочего дня запираются на ключ.
3.1.2. Персональные данные в течение всего периода прохождения государственной гражданской службы, работы хранятся в отделе организационной, правовой и кадровой работы и у ведущего консультанта (главного бухгалтера) Департамента.
3.1.3. После увольнения лица с замещаемой должности его персональные данные, содержащиеся:
на бумажных носителях - хранятся в отделе организационной, правовой и кадровой работы Департамента и у ведущего консультанта (главного бухгалтера) Департамента пять лет, после чего передаются для последующего хранения в архив;
в автоматизированных системах обработки персональных данных - хранятся в течение пяти лет и в последующем уничтожаются.
3.1.4. Персональные данные лиц, претендующих на замещение должностей государственной гражданской службы и иных должностей в Департаменте, хранятся в отделе организационной, правовой и кадровой работы Департамента в течение 3 лет с момента их получения, а затем уничтожаются.
3.2. Обработка персональных данных иных физических лиц, представляемых в Департамент, осуществляется в следующем порядке:
3.2.1. Персональные данные обрабатываются в информационных системах Департамента в целях реализации полномочий Департамента, а также в иных установленных федеральными законами целях.
3.2.2. Документы, содержащие персональные данные, обрабатываются в соответствии с федеральными законами, Указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, иными нормативными правовыми актами Российской Федерации и области, устанавливающими цели и порядок обработки персональных данных.
4. Доступ к информационным системам персональных данных
4.1. Доступ ко всем персональным данным, обрабатываемым в Департаменте, имеют:
лица, замещающие должности, а также исполняющие обязанности:
- начальника Департамента;
- заместителя начальника Департамента;
- начальника отдела организационной, правовой и кадровой работы Департамента.
4.2. Доступ к персональным данным претендентов на замещение должностей государственной гражданской службы области, иных должностей в Департаменте помимо лиц, указанных в пункте 4.1
настоящего Положения, имеют:
лицо, замещающее должности, а также исполняющее обязанности:
- главного специалиста отдела организационной, правовой и кадровой работы Департамента;
лица, входящие в состав конкурсных комиссий, - в отношении претендентов, участвующих в конкурсе.
4.3. Доступ к персональным данным лиц, замещающих должности государственной гражданской службы области, иные должности в Департаменте, помимо лиц, указанных в пункте 4.1
настоящего Положения, имеют:
лица, замещающие должности, а также исполняющие обязанности:
- руководителей структурных подразделений Департамента - в отношении персональных данных государственных гражданских служащих и работников, проходящих государственную гражданскую службу (работающих) в соответствующих структурных подразделениях Департамента;
- ведущего консультанта (главного бухгалтера) Департамента;
- главного специалиста Департамента;
- главного специалиста отдела организационной, правовой и кадровой работы Департамента;
лица, входящие в состав соответствующих аттестационных комиссий, комиссий по соблюдению требований к служебному поведению и урегулированию конфликта интересов, иных комиссий, образуемых в соответствии с Федеральным законом "О государственной гражданской службе Российской Федерации" от 27 июля 2004 года № 79-ФЗ, - в отношении рассматриваемых на соответствующих комиссиях персональных данных субъектов персональных данных.
4.4. Доступ к персональным данным иных физических лиц, представляемым в Департамент, в целях реализации полномочий Департамента помимо лиц, указанных в пункте 4.1
настоящего Положения, имеют государственные гражданские служащие Департамента, в должностные обязанности которых входит:
регистрация, рассмотрение и контроль за рассмотрением обращений граждан, поступающих в Департамент;
представительство интересов Департамента в организациях и органах, в том числе в арбитражных судах и судах общей юрисдикции, иных правоохранительных органах.
4.5. Доступ к информационным системам персональных данных и электронным носителям, на которых хранятся персональные данные, имеет также старший специалист 1 разряда отдела организационной, правовой и кадровой работы Департамента, полномочия которого определяются приказом начальника Департамента.
5. Распространение персональных данных
субъектов персональных данных
5.1. Персональные данные могут распространяться в соответствии с требованиями, установленными действующим законодательством и настоящим Положением.
Лица, указанные в пунктах 4.1
- 4.5
настоящего Положения, имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций, поручений, своих должностных обязанностей.
5.2. При распространении персональных данных субъектов персональных данных оператор должен соблюдать следующие требования:
5.2.1. Распространение (в том числе передача) персональных данных субъектов персональных данных осуществляется:
5.2.1.1. Лицам, которые в соответствии с пунктами 4.1
- 4.5
настоящего Положения имеют право доступа к персональным данным, по их запросу либо в случае направления им для рассмотрения соответствующих обращений граждан.
5.2.1.2. При согласовании проектов приказов, распоряжений и договоров по кадровым вопросам (в отношении персональных данных, необходимых для подготовки соответствующего проекта):
лицам, указанным в пунктах 4.1
- 4.4
настоящего Положения;
лицам, осуществляющим правовую и антикоррупционную экспертизу соответствующих проектов.
5.3. Предоставление персональных данных третьей стороне осуществляется по письменному запросу и при получении письменного согласия субъекта персональных данных, за исключением случаев, когда представление персональных данных необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в других случаях, предусмотренных федеральными законами.
5.4. В случае обращения с запросом лица, не уполномоченного в соответствии с нормативными правовыми актами на получение персональных данных, либо отсутствия письменного согласия субъекта персональных данных на предоставление его персональных данных третьей стороне, либо отсутствия угрозы жизни и здоровью субъекта персональных данных оператор обязан отказать в предоставлении персональных данных.
5.5. Запрещается сообщать персональные данные субъектов персональных данных в коммерческих целях, в том числе в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации без письменного согласия субъекта персональных данных.
5.6. При передаче персональных данных оператор обязан предупредить в установленном порядке лиц, получающих персональные данные субъектов персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
5.7. В случае если оператор на основании договора поручает обработку или осуществляет передачу персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
5.8. При привлечении по договору к работам по обработке и (или) защите персональных данных сторонних юридических и (или) физических лиц обязательным условием допуска к проведению таких работ является подписание обязательства о неразглашении информации с лицами, проводящими работы.
5.9. Трансграничная передача персональных данных на территорию иностранных государств может осуществляться оператором в соответствии со статьей 12 Федерального закона "О персональных данных" от 27 июля 2007 года № 152-ФЗ.
6. Ответственность за нарушение норм, регулирующих
порядок хранения и распространения персональных данных
Лица, виновные в нарушении норм, регулирующих порядок хранения и распространения персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном законодательством о государственной гражданской службе и трудовым законодательством, а также привлекаются к административной и уголовной ответственности в порядке, установленном федеральными законами.
