ПРИКАЗ
от 7 сентября 2012 года N 10-прс
ОБ ОТДЕЛЬНЫХ МЕРАХ, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ, ПРЕДУСМОТРЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
____________________________________________________________________
Утратил силу на основании Приказа Службы государственного финансового контроля Иркутской области от 05.03.2024 N 85-6-спр.
____________________________________________________________________
(в ред. приказов Службы государственного финансового контроля Иркутской области от 23.10.2012 N 12-прс, от 30.09.2013 N 12-прс, от 15.10.2013 N 13-прс, от 22.11.2013 N 20-прс, от 07.02.2014 N 4-спр, от 03.12.2014 N 32-спр)
В соответствии со статьей 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", распоряжением Правительства Иркутской области от 13 июня 2012 года N 285-рп "Об отдельных мерах, направленных на реализацию постановления Правительства Российской Федерации от 21 марта 2012 года N 211", руководствуясь подпунктом 2 пункта 14 раздела 5 Положения о службе государственного финансового контроля Иркутской области (далее - Служба), утвержденного постановлением Правительства Иркутской области от 29 декабря 2009 года N 394-173-пп,
приказываю:
1. Утвердить прилагаемые Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в службе государственного финансового контроля Иркутской области.
2. Утвердить прилагаемые Правила рассмотрения запросов субъектов персональных данных или их представителей в службе государственного финансового контроля Иркутской области.
3. Утвердить прилагаемые Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе государственного финансового контроля Иркутской области.
4. Утвердить прилагаемые Правила работы с обезличенными персональными данными в службе государственного финансового контроля Иркутской области.
5. Утвердить прилагаемый Перечень информационных систем персональных данных в службе государственного финансового контроля Иркутской области.
6. Утвердить прилагаемый Перечень персональных данных, обрабатываемых в службе государственного финансового контроля Иркутской области в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций.
(в ред. приказа Службы государственного финансового контроля Иркутской области от 15.10.2013 N 13-прс)
7. Утвердить прилагаемый Перечень должностей сотрудников службы государственного финансового контроля Иркутской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
8. Утвердить прилагаемый Перечень должностей сотрудников службы государственного финансового контроля Иркутской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.
9. Утвердить прилагаемое Обязательство сотрудника службы государственного финансового контроля Иркутской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
(в ред. приказа Службы государственного финансового контроля Иркутской области от 15.10.2013 N 13-прс)
10. Утвердить прилагаемое Согласие на обработку персональных данных сотрудников службы государственного финансового контроля Иркутской области, иных субъектов персональных данных, а также Разъяснение субъекту персональных данных юридических последствий отказа представить свои персональные данные.
11. Утвердить прилагаемый Порядок доступа сотрудников службы государственного финансового контроля Иркутской области в помещения, в которых ведется обработка персональных данных.
12. Отделу государственной гражданской службы и делопроизводства Службы (Будаговская А.Н.) ознакомить сотрудников Службы с настоящим приказом.
13. Настоящий приказ вступает в силу через десять календарных дней после дня его официального опубликования.
Руководитель службы государственного
финансового контроля
Иркутской области
Е.Н.МОХКАМОВА
ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНАВЛИВАЮЩИЕ ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, А ТАКЖЕ ОПРЕДЕЛЯЮЩИЕ ДЛЯ КАЖДОЙ ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СОДЕРЖАНИЕ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ, СРОКИ ИХ ОБРАБОТКИ И ХРАНЕНИЯ, ПОРЯДОК УНИЧТОЖЕНИЯ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ В СЛУЖБЕ ГОСУДАРСТВЕННОГО ФИНАНСОВОГО КОНТРОЛЯ ИРКУТСКОЙ ОБЛАСТИ
(в ред. приказов Службы государственного
финансового контроля Иркутской области
от 23.10.2012 N 12-прс, от 03.12.2014 N 32-спр)
1. Настоящие Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в службе государственного финансового контроля Иркутской области (далее - Служба) разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", и иными нормативными правовыми актами Российской Федерации, регулирующими отношения в данной сфере деятельности (далее - Правила).
2. Настоящие Правила устанавливают единый порядок действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными в Службе, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в Службе.
3. Целью настоящих Правил является обеспечение защиты прав и свобод при обработке персональных данных сотрудников Службы, а также граждан, обратившихся в Службу (далее - субъект персональных данных), установление ответственных должностных лиц Службы, имеющих доступ к персональным данным, ответственности за невыполнение норм, регулирующих обработку и защиту персональных данных.
4. В настоящих Правилах используются основные понятия, установленные статьей 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).
5. Ответственные должностные лица Службы, должности которых предусматривают осуществление обработки персональных данных либо осуществление доступа к персональным данным (далее - ответственные лица Службы) определяются распоряжением Службы и в обязательном порядке под роспись знакомятся с приказом Службы, утверждающим перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами Службы, а также подписывают обязательство о неразглашении персональных данных по форме согласно приложению 1 к настоящим Правилам.
6. Обработка персональных данных в Службе осуществляется на основе принципов, установленных статьей 5 Федерального закона N 152-ФЗ.
7. Обработка персональных данных субъекта персональных данных осуществляется после:
1) получения письменного согласия субъекта персональных данных или его представителя на обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона N 152-ФЗ. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи".
Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации;
2) направления до начала обработки персональных данных уведомления в Управление федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона N 152-ФЗ;
3) принятия необходимых мер по обеспечению безопасности персональных данных.
8. При обработке персональных данных ответственные лица Службы обязаны соблюдать следующие требования:
1) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия в трудоустройстве, обучении и должностном росте, обеспечения личной безопасности сотрудников Службы и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества Службы;
2) персональные данные следует получать лично у субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом субъекта персональных данных заранее, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных;
3) запрещается получать, обрабатывать и приобщать к личному делу субъекта персональных данных не установленные Федеральным законом от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации" и Федеральным законом N 152-ФЗ персональные данные об их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
(пп. 3 в ред. приказа Службы государственного финансового контроля Иркутской области от 23.10.2012 N 12-прс)
4) при принятии решений, затрагивающих интересы субъекта персональных данных, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;
5) защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Службы в порядке, установленном Федеральным законом N 152-ФЗ и иными нормативными правовыми актами.
9. При передаче персональных данных ответственные лица Службы обязаны соблюдать следующие требования:
1) не сообщать персональные данные субъекта персональных данных без его письменного согласия для использования их в коммерческих целях;
2) предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные должны использоваться только в целях, для которых они сообщены, и требовать от этих лиц подтверждения о соблюдении требований;
3) передавать персональные данные субъекта персональных данных его представителю в порядке, установленном федеральными законами, и ограничивать эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения представителем его функций.
10. Передача персональных данных от Службы иному оператору персональных данных допускается в минимальных объемах, в целях выполнения задач, соответствующих объективной причине сбора этих данных, и только после заключения с этим оператором договора о соблюдении конфиденциальности.
11. Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.
12. Персональные данные и иные сведения, содержащиеся в личных делах сотрудников, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.
13. Ответственные лица Службы при обработке персональных данных с использованием информационных систем обязаны:
- принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;
- вести учет электронных носителей информации (включая резервные и архивные копии), осуществлять хранение документов, содержащих персональные данные, и электронных носителей информации в металлических шкафах или сейфах;
- производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с данными сведениями;
- соблюдать установленный порядок и правила доступа в информационные системы, не допускать передачу персональных кодов и паролей;
- принимать все необходимые меры к надежной сохранности кодов и паролей доступа к информационным системам;
- работать с информационными системами в объеме своих полномочий, не допускать их превышения;
- обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.
14. При работе на персональном компьютере, в том числе для доступа к информационным системам, запрещается:
- записывать значения кодов и паролей доступа;
- передавать коды и пароли доступа другим лицам;
- пользоваться в работе чужими кодами и паролями доступа;
- производить подбор кодов и паролей доступа других пользователей;
- записывать на электронные носители с персональными данными посторонние программы и данные;
- копировать данные на неучтенные электронные носители информации;
- выносить электронные носители с персональными данными за пределы департамента без согласования с директором департамента;
- покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств, блокирования доступа к персональному компьютеру;
- приносить, самостоятельно устанавливать и эксплуатировать на технических средствах любые программные продукты, не принятые к эксплуатации;
- открывать, разбирать, ремонтировать технические средства, вносить изменения в конструкцию, подключать нештатные блоки и устройства;
- передавать технические средства для ремонта и обслуживания сторонним организациям без извлечения носителей, содержащих персональные данные.
15. Обработка персональных данных субъекта в информационных системах Службы с использованием средств автоматизации осуществляется в соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781.