ПРИЛОЖЕНИЕ № 1

к приказу

Министерства финансов

Ульяновской области

от «__» ___ 201_ г.№ __

 

 

 

 

ПРАВИЛА

обработки персональных данных в Министерстве финансов

Ульяновской области

 

 

1. Общие Положения

 

1.1. Настоящие Правила обработки персональных данных устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (далее - Правила). Обработка персональных данных выполняется с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в Министерстве финансов Ульяновской области (далее - Министерство).

1.2. Министерство в соответствии с Федеральным законом от 27.07.2006    № 152-ФЗ «О персональных данных» является оператором, осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.

1.3. Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон), Федеральным законом от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации», Федеральным законом от 02.05.2006 № 59 «О порядке рассмотрения обращения граждан Российской Федерации», Указом Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».

1.4. Целями обработки персональных данных являются:

а) реализация функций, возложенных на Министерство в качестве работодателя, в том числе содействие в трудоустройстве, обучении и продвижении по службе, обеспечении личной безопасности;

б) реализация функций, возложенных на Министерство в качестве государственного органа власти, в части обработки обращений граждан.

1.5. Субъектами персональных данных являются государственные гражданские служащие, иные работники Министерства, а также граждане, обратившиеся в Министерство или сотрудничающие с Министерством (далее - субъекты персональных данных).

1.6. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

а) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актом, требованиям к защите персональных данных;

б) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых Министерством мер, направленных на обеспечение выполнения обязанностей оператора персональных данных, предусмотренных Федеральным законом;

в) ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, с требованиями по защите персональных данных.

1.7. Обеспечение безопасности персональных данных в Министерстве достигается мерами, определенными статьёй 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.8. Работники Министерства, обрабатывающие персональные данные, несут ответственность за нарушения настоящих Правил в соответствии с законодательством Российской Федерации.

1.9. Контроль за соблюдением настоящих Правил возлагается на руководителей структурных подразделений Министерства и назначенного распоряжением Министерства ответственного лица за организацию обработки персональных данных согласно должностным обязанностям.

 

2. Порядок обработки персональных данных в Министерстве

с использованием средств автоматизации

 

2.1. При эксплуатации информационных систем персональных данных Министерства необходимо соблюдать следующие требования:

а) к обработке персональных данных допускаются только лица, назначенные соответствующим распорядительным документом Министерства;

б) в период обработки персональных данных в помещениях не допускается бесконтрольное нахождение лиц, не допущенных к их обработке.

2.2. В информационных системах персональных данных производится обработка персональных данных работников Министерства.

2.3. Обеспечение безопасности персональных данных, обрабатываемых с использованием средств автоматизации, направлено на:

а) обеспечение защиты от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;

б) соблюдение конфиденциальности;

в) реализацию права на доступ к персональным данным.

2.4. Должностными лицами, допущенными к обработке персональных данных в информационных системах персональных данных Министерства должна быть обеспечена их безопасность с помощью системы защиты информации.

2.5. Обмен персональными данными при их обработке в информационных системах персональных данных Министерства осуществляется по каналам связи, защита которых обеспечивается путём реализации соответствующих организационных мер и путем применения программных и технических средств, прошедших процедуру оценки соответствия.

2.6. Доступ пользователей для обработки персональных данных в информационных системах персональных данных Министерства должен требовать обязательного прохождения процедуры идентификации и аутентификации.

2.7. Система защиты информации в информационных системах персональных данных Министерства должна обеспечивать:

а) постоянный контроль за обеспечением уровня защищённости персональных данных;

б) соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

в) учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

 

3. Порядок обработки персональных данных в Министерстве

без использования средств автоматизации

 

Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) осуществляется в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

3.1. При неавтоматизированной обработке персональных данных различных категорий должен использоваться отдельный материальный носитель для каждой категории персональных данных.

3.2. При неавтоматизированной обработке персональных данных на бумажных носителях:

а) не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы.

б) персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).

в) документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных.

г) дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

3.3. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

3.4. Уничтожение и обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

3.5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

3.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путём фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путём изготовления нового материального носителя с уточнёнными персональными данными.

3.7. Неавтоматизированная обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

3.8. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

 

 

4. Сроки обработки персональных данных Министерства, порядок хранения

и уничтожения при достижении целей обработки или при наступлении

иных законных оснований

 

4.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

4.2. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.

4.3. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

4.4. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трёх рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

 

 

___________________