• Текст документа
  • Статус
Действующий

 
УПРАВЛЕНИЕ ПО КОНТРОЛЮ И НАДЗОРУ В СФЕРЕ ОБРАЗОВАНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН

ПРИКАЗ

от 11 декабря 2012 года N 4002

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ ПО КОНТРОЛЮ И НАДЗОРУ В СФЕРЕ ОБРАЗОВАНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН

(в редакции Приказа Обрнадзора Республики Башкортостан от 25.02.2015 N 550)

Зарегистрировано в Управлении РБ по организации деятельности мировых судей и ведению регистров правовых актов 29 января 2013 года N 3001



1. Утвердить прилагаемое Положение об обработке персональных данных в Управлении по контролю и надзору в сфере образования Республики Башкортостан (далее - Обрнадзор РБ).

2. Возложить функцию по обеспечению безопасности персональных данных при их обработке в информационных системах Обрнадзора РБ на отдел юридической и кадровой службы и организационный отдел Обрнадзора РБ.

3. Отделу юридической и кадровой службы Обрнадзора РБ в установленном законодательством порядке направить настоящий Приказ на государственную регистрацию в Управление Республики Башкортостан по организации деятельности мировых судей и ведению регистров правовых актов.

4. Контроль за исполнением настоящего Приказа возложить на заместителя начальника Обрнадзора РБ Зайнагабдинова Р.Р.

Начальник
А.А.ГАНЕЕВА

Приложение. ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ ПО КОНТРОЛЮ И НАДЗОРУ В СФЕРЕ ОБРАЗОВАНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН


Приложение
к Приказу Управления по контролю
и надзору в сфере образования
Республики Башкортостан
от 11 декабря 2012 года N 4002

(в ред. Приказа Обрнадзора Республики Башкортостан от 25.02.2015 N 550)

I. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящее Положение разработано в соответствии с Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации" (далее - Федеральный закон "О государственной гражданской службе Российской Федерации"), частью 2 статьи 4 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", Постановлением Правительства Российской Федерации от 1 ноября 2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и определяет порядок и условия обработки персональных данных государственных гражданских служащих, замещающих должности государственной гражданской службы Республики Башкортостан в Управлении по контролю и надзору в сфере образования Республики Башкортостан (далее - гражданские служащие), и кандидатов на замещение вакантных должностей государственной гражданской службы Республики Башкортостан (далее - иные лица) в Управлении по контролю и надзору в сфере образования Республики Башкортостан (далее - субъекты персональных данных).

2. Управление по контролю и надзору в сфере образования Республики Башкортостан (далее - Обрнадзор РБ) является оператором, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных субъектов персональных данных (далее - персональные данные), а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3. Обработка персональных данных в Обрнадзоре РБ осуществляется в целях осуществления переданных Российской Федерацией в соответствии Федеральным законом от 29 декабря 2012 года N 273-ФЗ "Об образовании в Российской Федерации" отдельных полномочий в сфере образования, а также ведения кадровой работы (ведение и хранение личных дел, учетных карточек и трудовых книжек гражданских служащих, содействие в трудоустройстве, обучении и должностном росте, обеспечение личной безопасности гражданского служащего и членов его семьи, учет результатов исполнения им должностных обязанностей, обеспечение сохранности имущества Обрнадзора РБ, а также документов иных лиц).

(п. 3 в ред. Приказа Обрнадзора Республики Башкортостан от 25.02.2015 N 550)

II. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4. Обработка персональных данных осуществляется с письменного согласия субъектов персональных данных, которое действует со дня их поступления на службу и на время ее прохождения, как с использованием средств автоматизации, так и без использования таких средств.

5. Представитель нанимателя в лице начальника Обрнадзора РБ обеспечивает защиту персональных данных, содержащихся в личных делах субъектов персональных данных, от неправомерного их использования или утраты.

6. Персональные данные и иные сведения, содержащиеся в личных делах субъектов персональных данных, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.

7. При обработке персональных данных в целях реализации возложенных на Обрнадзор РБ полномочий лица, уполномоченные на обработку персональных данных (далее - уполномоченные должностные лица), обязаны соблюдать следующие требования:

а) объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;

б) защита персональных данных от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;

в) передача персональных данных не допускается без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, Обрнадзор РБ вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;

г) обеспечение конфиденциальности персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

д) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения персональных данных оформляется актом;

е) опубликование и распространение персональных данных допускается в случаях, установленных законодательством Российской Федерации.

8. В целях обеспечения защиты персональных данных субъекты персональных данных вправе:

а) получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом "О персональных данных";

в) требовать внесения необходимых изменений, уничтожения или блокирования персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

г) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.

9. Обрнадзор РБ в соответствии с Федеральным законом "О государственной гражданской службе Российской Федерации" вправе осуществлять обработку (в том числе автоматизированную) персональных данных гражданских служащих при формировании кадрового резерва.

10. Обрнадзор РБ в соответствии с Федеральным законом "О государственной гражданской службе Российской Федерации" и Положением о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденным Указом Президента Российской Федерации от 1 февраля 2005 года N 112, вправе осуществлять обработку (в том числе автоматизированную) персональных данных иных лиц.

11. При переводе или назначении гражданского служащего на должность государственной гражданской службы Республики Башкортостан в другом государственном (муниципальном) органе его личное дело передается в государственный (муниципальный) орган по новому месту замещения должности гражданской службы по письменному запросу соответствующего органа.

III. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

12. Обработка персональных данных без использования средств автоматизации осуществляется как на бумажных носителях, так и в электронном виде на материальных носителях информации.

13. Неавтоматизированная обработка персональных данных в электронном виде должна осуществляться на съемных материальных носителях информации.

14. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на съемных материальных носителях информации необходимо принимать организационные (охрана помещений) и технические (установка сертифицированных средств защиты информации) меры, исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.

15. Учет материальных носителей информации, содержащих персональные данные, осуществляется служебным делопроизводством. Допускается ведение журналов учета в электронном виде.

16. При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.

17. Обработка персональных данных на бумажных носителях осуществляется в соответствии с правовыми актами Обрнадзора РБ по делопроизводству.

18. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на Обрнадзор РБ полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Обрнадзора РБ, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Обрнадзором РБ способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными не имел возможности доступа к персональным данным других лиц, содержащихся в указанной типовой форме;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

19. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

20. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

IV. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

21. Обработка персональных данных в информационных системах персональных данных осуществляется после завершения работ по созданию системы защиты персональных данных в информационной системе, проверки ее комиссией, назначаемой приказом Обрнадзора РБ, и оценки соответствия информационной системы персональных данных требованиям безопасности информации.

22. Безопасность персональных данных при их обработке в информационных системах Обрнадзора РБ обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

23. Разрешением на обработку персональных данных на объекте информационной системы персональных данных является приказ Обрнадзора РБ о вводе указанного объекта в эксплуатацию.

24. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

25. Персональные данные могут быть предоставлены для ознакомления:

а) сотрудникам, допущенным к обработке персональных данных с использованием средств автоматизации, в части, касающейся их должностных обязанностей;

б) уполномоченным работникам федеральных органов исполнительной власти в порядке, установленном законодательством Российской Федерации.

26. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации организационных мер и путем применения программных и технических средств.

27. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных, к информационно-телекоммуникационным сетям, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.

28. Доступ пользователей к персональным данным в информационных системах персональных данных Обрнадзора РБ разрешается после обязательного прохождения процедуры идентификации и аутентификации.

29. Структурными подразделениями (должностными лицами) Обрнадзора РБ, ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:

а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководящих должностных лиц Обрнадзора РБ;

б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

г) постоянный контроль за обеспечением уровня защищенности персональных данных;

д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

30. В случае выявления нарушений порядка обработки персональных данных в информационных системах Обрнадзора РБ уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.

V. ПРАВИЛА ДОПУСКА И ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ

31. Уполномоченные должностные лица допускаются к информации, содержащей персональные данные, в соответствии с занимаемой должностью и в объеме, необходимом для выполнения ими служебных обязанностей.

32. Допуск к персональным данным разрешается с соблюдением требований настоящего Положения.

33. Фактом ознакомления с разрешением на допуск является подпись уполномоченного должностного лица об ознакомлении со списком должностных лиц, доступ которых к персональным данным необходим для выполнения служебных обязанностей.

34. В соответствии с частью 3 статьи 6 Федерального закона "О персональных данных" Обрнадзор РБ вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо на основании акта Обрнадзора РБ. Лицо, осуществляющее обработку персональных данных по поручению Обрнадзора РБ, обязано соблюдать принципы и правила обработки персональных данных.

35. В поручении Обрнадзора РБ (правовом акте, контракте, договоре, соглашении) должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона "О персональных данных".

36. Допуск к персональным данным, в том числе содержащимся в информационных системах персональных данных сторонних организаций, деятельность которых не связана с исполнением функций Обрнадзора РБ, регламентируется законодательством Российской Федерации.

37. Доступ к техническим (программно-техническим) средствам информационных систем персональных данных Обрнадзора РБ предоставляется сторонним организациям, выполняющим работы на договорной основе.

Порядок допуска указанных организаций определяется в договоре на выполнение работ (оказание услуг). Решением о допуске является подписанный в установленном порядке договор на выполнение работ (оказание услуг).

38. Доступ к персональным данным сторонних организаций осуществляется на основании письменных запросов или письменных соглашений (договоров) сторон об обмене информацией.

В письменном запросе (соглашении, договоре) должны быть указаны следующие сведения:

цель получения информации;

конкретное наименование информации (состав персональных данных);

способ доступа (предоставления), а также сведения о регистрации в уполномоченных органах по защите прав субъектов персональных данных, осуществляющих функции по контролю и надзору в сфере информационных технологий и связи.

При наличии соглашения со сторонней организацией о допуске к персональным данным (предоставлении информации) доступ к персональным данным осуществляется в порядке, указанном в подписанном соглашении (договоре).

39. Доступ к персональным данным, в том числе содержащимся в информационных системах персональных данных сторонних организаций, выполняющих работы на договорной основе, осуществляется на основании подписанного договора на оказание услуг, а также настоящего Положения.

40. Запрещается передача электронных копий баз (банков) данных, содержащих персональные данные, любым сторонним организациям, за исключением случаев, предусмотренных законодательством Российской Федерации.

VI. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ

(введен Приказом Обрнадзора Республики Башкортостан от 25.02.2015 N 550)

41. Обрнадзором РБ осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.

42. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии Обрнадзора РБ, состав которой утверждается приказом Обрнадзора РБ.

По итогам заседания экспертной комиссии составляется протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами экспертной комиссии и утверждается начальником Обрнадзора РБ.

43. Должностное лицо Обрнадзора РБ, ответственное за архивную деятельность, организует работу по уничтожению документов, содержащих персональные данные.

44. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ ПО КОНТРОЛЮ И НАДЗОРУ В СФЕРЕ ОБРАЗОВАНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН (с изменениями на: 25.02.2015)

Название документа: ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ ПО КОНТРОЛЮ И НАДЗОРУ В СФЕРЕ ОБРАЗОВАНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН (с изменениями на: 25.02.2015)

Номер документа: 4002

Вид документа: Приказ Обрнадзора РБ

Принявший орган: Обрнадзор РБ

Статус: Действующий

Опубликован: "Республика Башкортостан", N 46(27781), 12.03.2013

Официальный Интернет-портал правовой информации Республики Башкортостан http://www.npa.bashkortostan.ru, 20.02.2013

Дата принятия: 11 декабря 2012

Дата начала действия: 11 декабря 2012
Дата редакции: 25 февраля 2015