МИНИСТЕРСТВО ФИНАНСОВ РЕСПУБЛИКИ МАРИЙ ЭЛ
ПРИКАЗ
от 14 июня 2013 года N 11-н
О МЕРАХ, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ, ПРЕДУСМОТРЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
В соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", Законом Республики Марий Эл от 5 октября 2004 г. N 38-З "О регулировании отношений в области государственной гражданской службы Республики Марий Эл", Указом Президента Республики Марий Эл от 20 июня 2007 г. N 98 "О персональных данных лиц, замещающих государственные должности Республики Марий Эл, и ведении их личных дел", Указом Президента Российской Федерации от 30 мая 2007 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ними нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказываю:
1. Утвердить прилагаемые:
Положение о защите персональных данных в Министерстве финансов Республики Марий Эл;
Правила рассмотрения запросов субъектов персональных данных или их представителей в Министерстве финансов Республики Марий Эл;
Правила осуществления внутреннего контроля соответствия обработки персональных данных в Министерстве финансов Республики Марий Эл требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных";
Правила работы с обезличенными данными в Министерстве финансов Республики Марий Эл;
Перечень должностей государственных гражданских служащих Республики Марий Эл и работников Министерства финансов Республики Марий Эл, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
Перечень должностей в Министерстве финансов Республики Марий Эл, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
Порядок доступа государственных гражданских служащих Республики Марий Эл и работников Министерства финансов Республики Марий Эл в помещения, в которых ведется обработка персональных данных.
2. Признать утратившим силу приказ Министерства финансов Республики Марий Эл от 26 декабря 2012 года N 29-н "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных", кроме пункта 2.
Министр
Г.Р.Габдул-Бариева
ПРАВИЛА рассмотрения запросов субъектов персональных данных или их представителей в Министерстве финансов Республики Марий Эл
1.1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Министерстве финансов Республики Марий Эл разработаны в соответствии с требованиями Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ними нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют порядок рассмотрения поступающих в Министерство финансов Республики Марий Эл (далее - министерство) запросов субъектов персональных данных или их представителей.
2.1. В соответствии с действующим законодательством субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) применяемые министерством способы обработки персональных данных;
4) наименование и место нахождения министерства, сведения о лицах (за исключением государственных гражданских служащих Республики Марий Эл и работников в министерстве), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с министерством или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению министерства, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.
2.2. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
2.3. Если субъект персональных данных считает, что обработка его персональных данных в министерстве осуществляется с нарушением требований Федерального закона "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие министерства в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
2.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3.1. Поступающий в министерство запрос субъекта персональных данных или его представителя (далее - запрос субъекта персональных данных) должен содержать:
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в отношениях с министерством (номер служебного контракта (трудового договора), дата заключения служебного контракта (трудового договора), условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных министерством;
подпись субъекта персональных данных или его представителя.
3.2. Запрос субъекта персональных данных может быть направлен в министерство в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3.3. При поступлении запроса субъекта персональных данных, запрос регистрируется в министерстве и передается на рассмотрение министру финансов Республики Марий Эл в соответствии с порядком рассмотрения обращения граждан, поступивших в Министерство финансов Республики Марий Эл.
3.4. Министр финансов Республики Марий Эл в течение тридцати календарных дней со дня получения запроса субъекта персональных данных обязан сообщить субъекту персональных данных информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, и предоставить возможность ознакомления с ними.
3.5.Сведения, указанные в пункте 2.1. настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3.6. В случае отказа в предоставлении субъекту персональных данных информации о наличии персональных данных о соответствующем субъекте персональных данных, а также самих персональных данных, мотивированный ответ должен быть дан в письменной форме в срок, не превышающий тридцати дней со дня получения запроса субъекта персональных данных.
3.7. Субъекту персональных данных безвозмездно представляется возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет министерство, являются неполными, неточными или неактуальными, министерство обязано внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет министерство, являются незаконно полученными, или не являются необходимыми для заявленной цели, министерство обязано уничтожить такие персональные данные. О внесенных уточнениях и предпринятых мерах необходимо уведомить субъекта персональных данных, а также третьих лиц, которым персональные данные этого субъекта были переданы.
3.8. В случае, если сведения, указанные в пункте 2.1. настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в министерство или направить повторный запрос в целях получения сведений, указанных в пункте 2.1. настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.9. Субъект персональных данных вправе обратиться повторно в министерство или направить повторный запрос в целях получения сведений, указанных в пункте 2.1. настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 3.8. настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 3.1. настоящих Правил, должен содержать обоснование направления повторного запроса.
3.10. Министерство вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 3.8. и 3.9. настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на министерстве.
УТВЕРЖДЕНЫ
приказом Министерства финансов Республики Марий Эл
от 14 июня 2013 г. N 11-н
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве финансов Республики Марий Эл разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве финансов Республики Марий Эл (далее - министерство) проводятся периодические поверки условий обработки персональных данных.
2.2. Проверки обработки персональных данных проводятся комиссией, состав которой утверждается приказом министерства.
2.3. Проверки условий обработки персональных данных проводятся на основании утвержденного министром финансов Республики Марий Эл ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям (плановые проверки) или на основании поступившейв министерство информации о нарушениях правил обработки персональных данных (внеплановые проверки).
Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях правил обработки персональных данных.
2.4. В проведении проверки условий обработки персональных данных не могут участвовать государственные гражданские служащие Республики Марий Эл (далее - гражданские служащие) или работники министерства, прямо или косвенно заинтересованные в ее результатах.
2.5. Проверки условий обработки персональных данных осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест гражданских служащих и работников министерства, участвующих в процессе обработки персональных данных.
2.6. При проведении проверки условий обработки персональных данных должны быть полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;
состояние учета носителей персональных данных;
соблюдение правил доступа к персональным данным;
соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.