ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ПОСТАВКАМ ВООРУЖЕНИЯ, ВОЕННОЙ, СПЕЦИАЛЬНОЙ ТЕХНИКИ И МАТЕРИАЛЬНЫХ СРЕДСТВ

ПРИКАЗ

от 22 апреля 2011 года N 116

О защите персональных данных федеральных государственных гражданских служащих центрального аппарата Федерального агентства по поставкам вооружения, военной, специальной техники и материальных средств

(с изменениями на 20 октября 2011 года)

В соответствии с Федеральными законами от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" (Собрание законодательства Российской Федерации, 2004, N 31, ст.3215; 2006, N 6, ст.636; 2007, N 10, ст.1151; N 16, ст.1828; N 49, ст.6070; 2008, N 13, ст.1186; N 30, ст.3616; N 52, ст.6235; 2009, N 29, ст.3597, ст.3624; N 48, ст.5719; N 51, ст.6150, ст.6159; 2010, N 5, ст.459; N 7, ст.704; N 49, ст.6413), от 27.07.2006 N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2009, N 48, ст.5716; N 52 (ч.I), ст.6439; 2010, N 27, ст.3407; N 31, ст.4173), Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (Собрание законодательства Российской Федерации, 2005, N 23, ст.2242; 2008, N 43, ст.4921), Постановлением Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48 (ч.II), ст.6001)

приказываю:

1. Утвердить:

Положение об организации работы с персональными данными федерального государственного гражданского служащего центрального аппарата Федерального агентства по поставкам вооружения, военной, специальной техники и материальных средств и ведении его личного дела (приложение N 1 к приказу);

список должностей федеральных государственных гражданских служащих, уполномоченных на обработку персональных данных и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных (приложение N 2 к приказу).

2. Установить, что в Федеральном агентстве по поставкам вооружения, военной, специальной техники и материальных средств ведение личных дел и личных карточек государственных гражданских служащих (далее - гражданские служащие), ведение и хранение трудовых книжек гражданских служащих, а также хранение личных дел гражданских служащих, уволенных с федеральной государственной гражданской службы, в течение установленного срока с дальнейшей их передачей в установленном порядке в архив, осуществляется Управлением госслужбы и кадров.

3. Управлению госслужбы и кадров включить в должностные регламенты федеральных государственных гражданских служащих, уполномоченных на обработку персональных данных, соответствующие положения о служебных обязанностях по обеспечению конфиденциальности персональных данных.

4. Управлению информатизации:

обеспечить надежность функционирования информационных систем персональных данных;

обеспечить неукоснительное выполнение требований по защите персональных данных при проведении работ по обеспечению функционирования информационных систем персональных данных.

5. Начальникам структурных подразделений, осуществляющих обработку и хранение персональных данных, привести помещения, в которых осуществляются обработка и хранение персональных данных федеральных государственных гражданских служащих, в соответствие с требованиями по обеспечению их сохранности, пожарной безопасности, а также защиты от несанкционированного проникновения посторонних лиц.

6. Управлению безопасности и защиты информации обеспечить контроль выполнения требований по защите персональных данных федеральных государственных гражданских служащих при их обработке в информационных системах.

7. Контроль за исполнением настоящего приказа оставляю за собой.

Руководитель Рособоронпоставки
Н.Синикова

Зарегистрировано

в Министерстве юстиции

Российской Федерации

21 июня 2011 года,

регистрационный N 21084

Приложение N 1
к приказу Рособоронпоставки
от 22 апреля 2011 года N 116

     
Положение об организации работы с персональными данными федерального государственного гражданского служащего центрального аппарата Федерального агентства по поставкам вооружения, военной, специальной техники и материальных средств и ведении его личного дела

(с изменениями на 20 октября 2011 года)

1. Настоящим Положением об организации работы с персональными данными федерального государственного гражданского служащего центрального аппарата Федерального агентства по поставкам вооружения, военной, специальной техники и материальных средств и ведении его личного дела (далее - Положение) определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных федерального государственного гражданского служащего (далее - гражданский служащий) в центральном аппарате Федерального агентства по поставкам вооружения, военной, специальной техники и материальных средств (далее - Рособоронпоставка), а также ведения его личного дела в соответствии с Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" (Собрание законодательства Российской Федерации, 2004, N 31, ст.3215; 2006, N 6, ст.636; 2007, N 10, ст.1151; N 16, ст.1828; N 49, ст.6070; 2008, N 13, ст.1186; N 30, ст.3616; N 52, ст.6235; 2009, N 29, ст.3597, ст.3624; N 48, ст.5719; N 51, ст.6150, ст.6159; 2010, N 5, ст.459; N 7, ст.704; N 49, ст.6413) (далее - Федеральный закон "О государственной гражданской службе Российской Федерации"), частью 2 статьи 4 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2009, N 48, ст.5716; N 52 (ч.I), ст.6439; 2010, N 27, ст.3407; N 31, ст.4173) (далее - Федеральный закон "О персональных данных"), Трудовым кодексом Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст.3; N 30, ст.3014, ст.3033; 2003, N 27, ст.2700; 2004, N 18, ст.1690; N 35, ст.3607; 2005, N 1, ст.27; N 13, ст.1209; N 19, ст.1752; 2006, N 27, ст.2878; N 41, ст.4285; N 52, ст.5498; 2007, N 1, ст.34; N 17, ст.1930; N 30, ст.3808; N 41, ст.4844; N 43, ст.5084; N 49, ст.6070; 2008, N 9, ст.812; N 30, ст.3613; N 30, ст.3616; N 52, ст.6235, ст.6236; 2009, N 1, ст.17, ст.21; N 19, ст.2270; N 29, ст.3604; N 30, ст.3732, ст.3739; N 46, ст.5419; N 48, ст.5717; N 50, ст.6146; 2010, N 31, ст.4196; N 52 (ч.I), ст.7002; 2011, N 1, ст.49) (далее - Трудовой кодекс), Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (Собрание законодательства Российской Федерации, 2005, N 23, ст.2242; 2008, N 43, ст.4921), Постановлением Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, ст.6001), Постановлением Правительства Российской Федерации от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" (Собрание законодательства Российской Федерации, 2008, N 28, ст.3384), Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства Российской Федерации, 2008, N 38, ст.4320).

2. В настоящем Положении в соответствии со статьей 3 Федерального закона "О персональных данных" используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

(Пункт в редакции, введенной в действие приказом Рособоронпоставки от 20 октября 2011 года N 240. - См. предыдущую редакцию)

3. Представитель нанимателя в лице Руководителя Рособоронпоставки (далее - Руководитель), осуществляющий полномочия нанимателя от имени Российской Федерации, а также начальник Управления госслужбы и кадров Рособоронпоставки обеспечивают защиту персональных данных гражданских служащих, содержащихся в их личных делах, от неправомерного использования или утраты.

4. Доступ к персональным данным гражданских служащих Рособоронпоставки имеют:

Руководитель - к персональным данным гражданских служащих или принимаемых на работу в Рособоронпоставку;

заместители Руководителя - к персональным данным гражданских служащих курируемых ими структурных подразделений или принимаемых на работу в эти подразделения;

начальники и заместители начальников структурных подразделений - к персональным данным гражданских служащих возглавляемых ими структурных подразделений;

гражданские служащие Управления госслужбы и кадров Рособоронпоставки, в должностных обязанностях которых предусмотрено ведение работы с документами, содержащими персональные данные гражданских служащих;

гражданские служащие Финансово-хозяйственного управления Рособоронпоставки, в должностных обязанностях которых предусмотрено ведение работы с документами, содержащими персональные данные гражданских служащих;

гражданские служащие Управления информатизации Рособоронпоставки, в должностных регламентах которых предусмотрены обязанности по обеспечению функционирования информационных систем персональных данных;

гражданские служащие Управления делами Рособоронпоставки, в должностных регламентах которых предусмотрены обязанности по обработке и размещению информации на официальном интернет-сайте, содержащей персональные данные;

гражданские служащие Управления безопасности и защиты информации, в должностных обязанностях которых предусмотрена работа с документами, содержащими персональные данные гражданских служащих.

5. Сотрудники, указанные в пункте 4 настоящего Положения, имеют право получать только те персональные данные гражданских служащих, которые необходимы им для выполнения своих должностных обязанностей.

6. Ответственным за организацию и осуществление хранения персональных данных гражданских служащих Рособоронпоставки является начальник Управления госслужбы и кадров Рособоронпоставки.

7. Руководитель определяет лиц, как правило, из числа сотрудников Управления госслужбы и кадров Рособоронпоставки, уполномоченных на обработку персональных данных гражданских служащих, обеспечивающих обработку персональных данных в соответствии с требованиями Федеральных законов "О государственной гражданской службе Российской Федерации", "О персональных данных", других нормативных правовых актов Российской Федерации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных (далее - сотрудники, ответственные за обработку персональных данных).

8. При обработке персональных данных гражданского служащего сотрудники, ответственные за обработку персональных данных, обязаны соблюдать следующие требования:

а) обработка персональных данных гражданского служащего осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия гражданскому служащему в прохождении государственной гражданской службы Российской Федерации (далее - гражданская служба), в обучении и должностном росте, обеспечении личной безопасности гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества Рособоронпоставки, учета результатов исполнения им должностных обязанностей;

обработка персональных данных с использованием информационных систем персональных данных осуществляется в отдельных информационно-телекоммуникационных сетях, к которым подключены информационные системы персональных данных, физически изолированных от информационно-телекоммуникационных сетей общего пользования или изолированных с помощью сертифицированного межсетевого экрана;

доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных Рособоронпоставки должен требовать обязательного прохождения процедуры идентификации и аутентификации;

передача персональных данных по незащищенным каналам связи допускается только при использовании средств шифрования;

б) персональные данные следует получать лично у гражданского служащего.

В случае возникновения необходимости получения персональных данных гражданского служащего у третьей стороны следует известить об этом гражданского служащего заранее, получить его письменное согласие и сообщить гражданскому служащему о целях, предполагаемых источниках и способах получения персональных данных. Письменное согласие гражданского служащего на обработку персональных данных хранится в отделе кадров Управления госслужбы и кадров;

в) запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

г) при принятии решений, затрагивающих интересы гражданского служащего, запрещается основываться на персональных данных гражданского служащего, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

д) защита персональных данных гражданского служащего от неправомерного их использования или утраты обеспечивается за счет средств Рособоронпоставки в порядке, установленном Федеральными законами "О государственной гражданской службе Российской Федерации", "О персональных данных", Трудовым кодексом и иными нормативными правовыми актами Российской Федерации;

е) Подпункт исключен - приказ Рособоронпоставки от 20 октября 2011 года N 240. - См. предыдущую редакцию;

ж) в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;

(Подпункт в редакции, введенной приказом Рособоронпоставки от 20 октября 2011 года N 240. - См. предыдущую редакцию)

з) в случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных;

(Подпункт в редакции, введенной приказом Рособоронпоставки от 20 октября 2011 года N 240. - См. предыдущую редакцию)

и) в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.