Приказ министерства молодежной политики, спорта и туризма Саратовской области от 30.05.2013 N 262 "Об утверждении правил по работе с персональными данными"
МИНИСТЕРСТВО МОЛОДЕЖНОЙ ПОЛИТИКИ, СПОРТА И ТУРИЗМА
САРАТОВСКОЙ ОБЛАСТИ
ПРИКАЗ
от 30 мая 2013 г. № 262
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ПО РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Во исполнение постановления Правительства РФ от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить правила рассмотрения министерством запросов субъектов персональных данных или их представителей согласно приложению № 1.
2. Утвердить правила осуществления министерством внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве молодежной политики, спорта и туризма области согласно приложению № 2.
3. Утвердить правила работы с обезличенными персональными данными, обрабатываемыми в министерстве молодежной политики, спорта и туризма области согласно приложению № 3.
4. Утвердить форму согласия субъекта персональных данных на обработку своих персональных данных согласно приложению № 4.
5. Отделу организационной и кадровой работы (Цветкова Н.А.) довести настоящий приказ до сведения должностных лиц министерства, осуществляющих работу с персональными данными.
6. Отделу правового обеспечения (Гопоненко Е.О.) направить настоящий приказ в Управление Министерства юстиции Российской Федерации по Саратовской области для регистрации.
7. Контроль за исполнением настоящего приказа оставляю за собой.
Министр
Н.Б.БРИЛЕНОК
Приложение № 1
к приказу
министерства молодежной политики, спорта и туризма
Саратовской области
от 30 мая 2013 г. № 262
ПРАВИЛА
РАССМОТРЕНИЯ МИНИСТЕРСТВОМ ЗАПРОСОВ СУБЪЕКТОВ
ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
1. Субъект персональных данных имеет право на получение от министерства молодежной политики, спорта и туризма Саратовской области (далее - оператор) информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона "О персональных данных";
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом "О персональных данных";
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные настоящим Федеральным законом "О персональных данных" или другими федеральными законами.
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 4 настоящих правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 3 настоящих правил, должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 4 и 5 настоящих правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
Приложение № 2
к приказу
министерства молодежной политики, спорта и туризма
Саратовской области
от 30 мая 2013 г. № 262
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ МОЛОДЕЖНОЙ ПОЛИТИКИ, СПОРТА И ТУРИЗМА ОБЛАСТИ
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве молодежной политики, спорта и туризма области (далее - Правила) устанавливаются процедуры (основания, порядок и формы) проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами", приказом ФСТЭК РФ от 05.02.2010 № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" и другими нормативными правовыми актами.
3. Целью настоящих Правил является выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
4. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
5. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в министерстве молодежной политики, спорта и туризма области (далее - Министерство) организовывается проведение проверок условий обработки персональных данных.
6. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных (далее - проверки), установленных в Министерстве, осуществляются комиссией, утвержденной приказом министра (далее - Комиссия по персональным данным).
7. Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях Министерства, в которых ведется обработка персональных данных.
8. Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным приказом министра.
9. План проведения проверок разрабатывается лицом, ответственным за организацию обработки персональных данных в Министерстве.
10. Внеплановые проверки проводятся на основании поступившего в Министерство на имя министра письменного заявления физического лица (субъекта персональных данных) о нарушениях правил обработки персональных данных.
11. В течение трех рабочих дней с момента поступления в Министерство заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется приказом министра.
12. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента выхода приказа.
13. При проведении проверок условий обработки персональных данных порядок обработки персональных данных и его соответствие требованиям обработки персональных данных, установленным в Министерстве, должен быть полностью, объективно и всесторонне исследован, а именно:
соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора персональных данных;
соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достаточность (избыточность) персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;
отсутствие (наличие) объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
14. В случае выявления фактов:
несоблюдения установленного порядка обработки персональных данных;
несоблюдения условий хранения носителей персональных данных;
использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
нарушения заданного уровня безопасности персональных данных (конфиденциальность/целостность/доступность);
в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.
14. Комиссия по персональным данным имеет право:
запрашивать у сотрудников Министерства информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
15. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.
16. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.
17. Плановая проверка должна быть завершена не позднее чем через месяц со дня ее назначения. Заключение о результатах проведенной проверки и принятых по устранению выявленных нарушений мерах, а также мерах, необходимых для устранения нарушений, направляется министру за подписью председателя Комиссии по персональным данным.
18. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.
19. В отношении персональных данных, ставших известными Комиссии по персональным данным в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
Приложение № 3
к приказу
министерства молодежной политики, спорта и туризма
Саратовской области
от 30 мая 2013 г. № 262
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ,
ОБРАБАТЫВАЕМЫМИ В МИНИСТЕРСТВЕ МОЛОДЕЖНОЙ ПОЛИТИКИ,
СПОРТА И ТУРИЗМА ОБЛАСТИ
1. Настоящие Правила работы с обезличенными персональными данными, обрабатываемыми в министерстве молодежной политики, спорта и туризма области (далее - Правила) разработаны в соответствии Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее - Федеральный закон), постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют порядок работы с обезличенными персональными данными министерства молодежной политики, спорта и туризма области (далее - Министерство).
2. В соответствии с Федеральным законом:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3. Обезличивание персональных данных в Министерстве проводится с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных.
4. Способами обезличивания персональных данных при условии их дальнейшей обработки является:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение - понижение точности некоторых сведений;
- понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
- деление сведений на части и обработка в разных информационных системах;
- другие способы.
5. Способом обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
6. Перечень должностей государственных гражданских служащих Министерства, ответственных за проведение мероприятий по обезличиванию персональных данных (далее - Перечень должностей), приведен в Приложении к настоящим Правилам.
7. В соответствии с Перечнем должностей:
- министр принимает решение о необходимости обезличивания персональных данных;
- заместители министра, начальники отделов готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания;
- государственные гражданские служащие, осуществляющие обработку персональных данных в связи с реализацией трудовых отношений, совместно с ответственным за организацию обработки персональных данных в связи с реализацией трудовых отношений, осуществляют непосредственное обезличивание персональных данных;
- государственные гражданские служащие, осуществляющие обработку персональных данных в связи с предоставлением государственных услуг и исполнением государственных функций, совместно с ответственными за организацию обработки персональных данных осуществляют непосредственное обезличивание персональных данных.
8. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
9. Обезличенные персональные данные обрабатываются с использованием и без использования средств автоматизации.
10. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используются);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
11. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся.
Приложение
к правилам работы
с обезличенными персональными данными,
обрабатываемыми в министерстве молодежной
политики, спорта и туризма области
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ МИНИСТЕРСТВА
МОЛОДЕЖНОЙ ПОЛИТИКИ, СПОРТА И ТУРИЗМА ОБЛАСТИ, ОТВЕТСТВЕННЫХ
ЗА ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ
ПЕРСОНАЛЬНЫХ ДАННЫХ
№ Наименование Наименование Примечание
п.п. структурного должности
подразделения
1. министерство министр принимает решение о
молодежной политики, необходимости обезличивания
спорта и туризма персональных данных
области
2. министерство первый заместитель готовит предложения по
молодежной политики, министра, обезличиванию персональных
спорта и туризма заместители данных, обоснование такой
области министра необходимости и способ
обезличивания
3. министерство начальники отдела готовят предложения по
молодежной политики, обезличиванию персональных
спорта и туризма данных, обоснование такой
области необходимости и способ
обезличивания
4. министерство специалисты отдела осуществляют обработку
молодежной политики, экономики и персональных
спорта и туризма финансов и отдела
области организационной и
кадровой работы
Приложение № 4
к приказу
министерства молодежной политики, спорта и туризма
Саратовской области
от 30 мая 2013 г. № 262
СОГЛАСИЕ
субъекта персональных данных на обработку своих персональных данных
Я, ____________________________________________________________________
(Ф.И.О.)
паспорт ____________, _____________, ______________________________________
(серия) (номер)
___________________________________________________________________________
(кем и когда выдан)
проживающий(ая) по адресу: ________________________________________________
___________________________________________________________________________
заявляю, что даю свое согласие и разрешаю министерству молодежной политики,
спорта и туризма области, расположенном) по адресу: 410012 г. Саратов, ул.
Киселева, 76, в лице его представителя_(Ф.И.О., должность) обработку моих
персональных данных своей волей и в своем интересе.
Я добровольно предоставляю это согласие с целью облегчить министерству
рассмотрение моей кандидатуры в конкурсном отборе на формирование кадрового
резерва для замещения вакантной должности или замещение вакантной должности
государственной гражданской службы Саратовской области
___________________________________________________________________________
___________________________________________________________________________
(наименование должности)
Перечень действий с персональными данными:
подготовка заключения о достоверности и полноте представленных
сведений и о возможности поступления на гражданскую службу;
подготовка заключения по обработке персональных данных для конкурсной
комиссии с использованием балльной системы оценки на соответствие
квалификационным требованиям к должности государственной гражданской
службы;
публикация итогов конкурса в телекоммуникационной сети общего
пользования на сайте Правительства Саратовской области (saratov.gov.ru);
хранение персональных данных на лиц, поступивших на государственную
гражданскую службу (зачисленных в кадровый резерв) Саратовской области;
хранение заполненных протоколов оценки с персональными данными на лиц,
поступивших на государственную гражданскую службу (зачисленных в кадровый
резерв) Саратовской области.
Мне известно, что вся информация и документы, созданные, полученные
или удерживаемые министерством в период рассмотрения моей кандидатуры,
будут обрабатываться в служебных целях, при условии соблюдения моих
законных прав и свобод, если иное не предусмотрено действующим
законодательством. Персональные данные могут быть в любое время исключены
из общедоступных источников персональных данных по моему требованию либо по
решению суда или иных уполномоченных государственных органов.
В случае выявления неправомерных действий с персональными данными, по
моему письменному заявлению и в случае невозможности устранения недостатков
в 3-дневный срок, персональные данные подлежат уничтожению.
Настоящее Согласие действительно в течение трех лет. Предоставленные
мною документы могут быть возвращены в течение данного срока со дня
завершения конкурса по письменному заявлению.
"____" ______________ 20____ года ____________
(подпись)
------------------------------------------------------------------
МИНИСТЕРСТВО МОЛОДЕЖНОЙ ПОЛИТИКИ, СПОРТА И ТУРИЗМА
САРАТОВСКОЙ ОБЛАСТИ
ПРИКАЗ
от 30 мая 2013 г. № 262
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ПО РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Во исполнение постановления Правительства РФ от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить правила рассмотрения министерством запросов субъектов персональных данных или их представителей согласно приложению № 1.
2. Утвердить правила осуществления министерством внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве молодежной политики, спорта и туризма области согласно приложению № 2.
3. Утвердить правила работы с обезличенными персональными данными, обрабатываемыми в министерстве молодежной политики, спорта и туризма области согласно приложению № 3.
4. Утвердить форму согласия субъекта персональных данных на обработку своих персональных данных согласно приложению № 4.
5. Отделу организационной и кадровой работы (Цветкова Н.А.) довести настоящий приказ до сведения должностных лиц министерства, осуществляющих работу с персональными данными.
6. Отделу правового обеспечения (Гопоненко Е.О.) направить настоящий приказ в Управление Министерства юстиции Российской Федерации по Саратовской области для регистрации.
7. Контроль за исполнением настоящего приказа оставляю за собой.
Министр
Н.Б.БРИЛЕНОК
Приложение № 1
к приказу
министерства молодежной политики, спорта и туризма
Саратовской области
от 30 мая 2013 г. № 262
ПРАВИЛА
РАССМОТРЕНИЯ МИНИСТЕРСТВОМ ЗАПРОСОВ СУБЪЕКТОВ
ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
1. Субъект персональных данных имеет право на получение от министерства молодежной политики, спорта и туризма Саратовской области (далее - оператор) информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона "О персональных данных";
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом "О персональных данных";
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные настоящим Федеральным законом "О персональных данных" или другими федеральными законами.
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 4 настоящих правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 3 настоящих правил, должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 4 и 5 настоящих правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
Приложение № 2
к приказу
министерства молодежной политики, спорта и туризма
Саратовской области
от 30 мая 2013 г. № 262
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ МОЛОДЕЖНОЙ ПОЛИТИКИ, СПОРТА И ТУРИЗМА ОБЛАСТИ
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве молодежной политики, спорта и туризма области (далее - Правила) устанавливаются процедуры (основания, порядок и формы) проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами", приказом ФСТЭК РФ от 05.02.2010 № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" и другими нормативными правовыми актами.
3. Целью настоящих Правил является выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
4. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
5. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в министерстве молодежной политики, спорта и туризма области (далее - Министерство) организовывается проведение проверок условий обработки персональных данных.
6. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных (далее - проверки), установленных в Министерстве, осуществляются комиссией, утвержденной приказом министра (далее - Комиссия по персональным данным).
7. Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях Министерства, в которых ведется обработка персональных данных.
8. Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным приказом министра.
9. План проведения проверок разрабатывается лицом, ответственным за организацию обработки персональных данных в Министерстве.
10. Внеплановые проверки проводятся на основании поступившего в Министерство на имя министра письменного заявления физического лица (субъекта персональных данных) о нарушениях правил обработки персональных данных.
11. В течение трех рабочих дней с момента поступления в Министерство заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется приказом министра.
12. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента выхода приказа.
13. При проведении проверок условий обработки персональных данных порядок обработки персональных данных и его соответствие требованиям обработки персональных данных, установленным в Министерстве, должен быть полностью, объективно и всесторонне исследован, а именно:
соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора персональных данных;
соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достаточность (избыточность) персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;
отсутствие (наличие) объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
14. В случае выявления фактов:
несоблюдения установленного порядка обработки персональных данных;
несоблюдения условий хранения носителей персональных данных;
использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
нарушения заданного уровня безопасности персональных данных (конфиденциальность/целостность/доступность);
в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.
14. Комиссия по персональным данным имеет право:
запрашивать у сотрудников Министерства информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
15. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.
16. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.
17. Плановая проверка должна быть завершена не позднее чем через месяц со дня ее назначения. Заключение о результатах проведенной проверки и принятых по устранению выявленных нарушений мерах, а также мерах, необходимых для устранения нарушений, направляется министру за подписью председателя Комиссии по персональным данным.
18. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.
19. В отношении персональных данных, ставших известными Комиссии по персональным данным в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
Приложение № 3
к приказу
министерства молодежной политики, спорта и туризма
Саратовской области
от 30 мая 2013 г. № 262
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ,
ОБРАБАТЫВАЕМЫМИ В МИНИСТЕРСТВЕ МОЛОДЕЖНОЙ ПОЛИТИКИ,
СПОРТА И ТУРИЗМА ОБЛАСТИ
1. Настоящие Правила работы с обезличенными персональными данными, обрабатываемыми в министерстве молодежной политики, спорта и туризма области (далее - Правила) разработаны в соответствии Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее - Федеральный закон), постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют порядок работы с обезличенными персональными данными министерства молодежной политики, спорта и туризма области (далее - Министерство).
2. В соответствии с Федеральным законом:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3. Обезличивание персональных данных в Министерстве проводится с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных.
4. Способами обезличивания персональных данных при условии их дальнейшей обработки является:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение - понижение точности некоторых сведений;
- понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
- деление сведений на части и обработка в разных информационных системах;
- другие способы.
5. Способом обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
6. Перечень должностей государственных гражданских служащих Министерства, ответственных за проведение мероприятий по обезличиванию персональных данных (далее - Перечень должностей), приведен в Приложении к настоящим Правилам.
7. В соответствии с Перечнем должностей:
- министр принимает решение о необходимости обезличивания персональных данных;
- заместители министра, начальники отделов готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания;
- государственные гражданские служащие, осуществляющие обработку персональных данных в связи с реализацией трудовых отношений, совместно с ответственным за организацию обработки персональных данных в связи с реализацией трудовых отношений, осуществляют непосредственное обезличивание персональных данных;
- государственные гражданские служащие, осуществляющие обработку персональных данных в связи с предоставлением государственных услуг и исполнением государственных функций, совместно с ответственными за организацию обработки персональных данных осуществляют непосредственное обезличивание персональных данных.
8. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
9. Обезличенные персональные данные обрабатываются с использованием и без использования средств автоматизации.
10. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используются);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
11. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся.
Приложение
к правилам работы
с обезличенными персональными данными,
обрабатываемыми в министерстве молодежной
политики, спорта и туризма области
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ МИНИСТЕРСТВА
МОЛОДЕЖНОЙ ПОЛИТИКИ, СПОРТА И ТУРИЗМА ОБЛАСТИ, ОТВЕТСТВЕННЫХ
ЗА ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ
ПЕРСОНАЛЬНЫХ ДАННЫХ
№ Наименование Наименование Примечание
п.п. структурного должности
подразделения
1. министерство министр принимает решение о
молодежной политики, необходимости обезличивания
спорта и туризма персональных данных
области
2. министерство первый заместитель готовит предложения по
молодежной политики, министра, обезличиванию персональных
спорта и туризма заместители данных, обоснование такой
области министра необходимости и способ
обезличивания
3. министерство начальники отдела готовят предложения по
молодежной политики, обезличиванию персональных
спорта и туризма данных, обоснование такой
области необходимости и способ
обезличивания
4. министерство специалисты отдела осуществляют обработку
молодежной политики, экономики и персональных
спорта и туризма финансов и отдела
области организационной и
кадровой работы
Приложение № 4
к приказу
министерства молодежной политики, спорта и туризма
Саратовской области
от 30 мая 2013 г. № 262
СОГЛАСИЕ
субъекта персональных данных на обработку своих персональных данных
Я, ____________________________________________________________________
(Ф.И.О.)
паспорт ____________, _____________, ______________________________________
(серия) (номер)
___________________________________________________________________________
(кем и когда выдан)
проживающий(ая) по адресу: ________________________________________________
___________________________________________________________________________
заявляю, что даю свое согласие и разрешаю министерству молодежной политики,
спорта и туризма области, расположенном) по адресу: 410012 г. Саратов, ул.
Киселева, 76, в лице его представителя_(Ф.И.О., должность) обработку моих
персональных данных своей волей и в своем интересе.
Я добровольно предоставляю это согласие с целью облегчить министерству
рассмотрение моей кандидатуры в конкурсном отборе на формирование кадрового
резерва для замещения вакантной должности или замещение вакантной должности
государственной гражданской службы Саратовской области
___________________________________________________________________________
___________________________________________________________________________
(наименование должности)
Перечень действий с персональными данными:
подготовка заключения о достоверности и полноте представленных
сведений и о возможности поступления на гражданскую службу;
подготовка заключения по обработке персональных данных для конкурсной
комиссии с использованием балльной системы оценки на соответствие
квалификационным требованиям к должности государственной гражданской
службы;
публикация итогов конкурса в телекоммуникационной сети общего
пользования на сайте Правительства Саратовской области (saratov.gov.ru);
хранение персональных данных на лиц, поступивших на государственную
гражданскую службу (зачисленных в кадровый резерв) Саратовской области;
хранение заполненных протоколов оценки с персональными данными на лиц,
поступивших на государственную гражданскую службу (зачисленных в кадровый
резерв) Саратовской области.
Мне известно, что вся информация и документы, созданные, полученные
или удерживаемые министерством в период рассмотрения моей кандидатуры,
будут обрабатываться в служебных целях, при условии соблюдения моих
законных прав и свобод, если иное не предусмотрено действующим
законодательством. Персональные данные могут быть в любое время исключены
из общедоступных источников персональных данных по моему требованию либо по
решению суда или иных уполномоченных государственных органов.
В случае выявления неправомерных действий с персональными данными, по
моему письменному заявлению и в случае невозможности устранения недостатков
в 3-дневный срок, персональные данные подлежат уничтожению.
Настоящее Согласие действительно в течение трех лет. Предоставленные
мною документы могут быть возвращены в течение данного срока со дня
завершения конкурса по письменному заявлению.
"____" ______________ 20____ года ____________
(подпись)
------------------------------------------------------------------