Правительство Ленинградской области
КОМИТЕТ ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ
ПРИКАЗ
от 17 декабря 2012 года N 26
О работе с персональными данными в комитете правопорядка и безопасности Ленинградской области
____________________________________________________________________
Утратил силу с 23 ноября 2015 года на основании
приказа Комитета правопорядка и безопасности Ленинградской
области от 9 ноября 2015 года N 26
____________________________________________________________________
_______________
* Вероятно, ошибка оригинала. Следует читать: "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами". - Примечание изготовителя базы данных.
приказываю:
1. Утвердить Правила обработки персональных данных в комитете правопорядка и безопасности Ленинградской области согласно приложению 1.
2. Утвердить Правила рассмотрения запросов субъектов персональных данных или их представителей согласно приложению 2.
3. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям защиты персональных данных в комитете правопорядка и безопасности Ленинградской области согласно приложению 3.
4. Утвердить должностную инструкцию ответственного за организацию обработки персональных данных согласно приложению 4.
5. Ответственными за организацию обработки персональных данных назначить руководителей структурных подразделений комитета правопорядка и безопасности Ленинградской области.
6. Приказ довести до руководителей структурных подразделений комитета правопорядкам и безопасности Ленинградской области под роспись.
7. Контроль за исполнением приказа оставляю за собой.
Председатель комитета
правопорядка и безопасности
С.Н.Смирнов
Приложение 1
УТВЕРЖДЕНЫ
приказом комитета
правопорядка и безопасности
Ленинградской области
от 17 декабря 2012 года N 26
ПРАВИЛА
обработки персональных данных в комитете правопорядка и безопасности Ленинградской области
1. Настоящие Правила обработки персональных данных в комитете правопорядка и безопасности Ленинградской области (далее - оператор), устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращения граждан Российской Федерации", постановление Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и иными нормативными правовыми актами Российской Федерации, регулирующими отношения в данной сфере деятельности (далее - Правила).
2. Правила устанавливают единый порядок действий оператора, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов.
3. Целью Правил является обеспечение защиты прав и свобод при обработке персональных данных граждан, обратившихся к оператору, установление ответственности должностных лиц оператора за невыполнение норм, регулирующих обработку и защиту персональных данных.
4. В Правилах используются основные понятия, установленные статьей 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").
5. Субъектами персональных данных являются физические лица, направившие оператору письменное предложение, заявление или жалобу в соответствии с Федеральным законом "О порядке рассмотрений обращений граждан Российской Федерации".
6. Непосредственно обработку персональных данных осуществляют работники комитета правопорядка и безопасности (далее - должностные лица оператора), которые в соответствии с резолюцией руководителей структурных подразделений комитета правопорядка и безопасности осуществляют рассмотрение поступивших обращений граждан.
7. При рассмотрении обращений граждан должностными лицами оператора могут обрабатываться следующие персональные данные, указанные субъектом персональных данных в обращении:
1) фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, номер телефона, семейное положение;
2) фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) цель обработки персональных данных;
4) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
5) подпись субъекта персональных данных;
6) иные персональные данные, содержащиеся в обращениях граждан.
8. Объем обрабатываемых персональных данных вышеуказанных категорий субъектов персональных данных определяется должностными лицами оператора самостоятельно, исходя из решаемых задач и полномочий в соответствии с законодательством и нормативными правовыми актами, регулирующими его деятельность.
9. Субъект персональных данных, указывая в обращении свои персональные данные, принимает решение о предоставлении его персональных данных и тем самым дает согласие на их обработку свободно, своей волей и в своем интересе. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
10. Должностные лица оператора, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или его представителя, если иное не предусмотрено федеральным законом.
11. Обработка персональных данных допускается в случаях, предусмотренных Федеральным законом "О персональных данных", в том числе:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.
12. Обработка персональных данных оператором осуществляется на основе принципов, установленных статьей 5 Федерального закона "О персональных данных".
13. Мерами, направленными на выявление и предотвращение нарушений, предусмотренных законодательством в сфере персональных данных являются:
1) назначение оператором ответственного (ответственных) за организацию обработки персональных данных;
2) издание оператором правовых актов по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации ..... устранение последствий таких нарушений;
3) применение правовых, организованных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона "О персональных данных";
4) осуществление внутреннего контроля соответствия обработки персональных данных нормам Федерального закона "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом;
6) ознакомление должностных лиц оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, нормативными правовыми актами Ленинградской области по вопросам обработки персональных данных, и (или) обучение ответственных должностных лиц оператора.
14. Обработка персональных данных осуществляется должностными лицами оператора без использования средств автоматизации в соответствии с требованиями, установленными постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
15. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители) - на бумажных носителях в виде документов и в электронном виде (файлы, базы данных) на электронных носителях информации.
16. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
17. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
18. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
19. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, со сроком хранения.
20. Персональные данные (материальные носители), обработка которых осуществляется в различных целях, хранятся раздельно.
21. Для хранения документов, содержащих персональные данные, используются помещения структурных подразделений оператора.
22. Внутренний доступ к персональным данным субъекта персональных данных имеют должностные лица оператора, которым эти данные необходимы для выполнения должностных обязанностей.
23. Внешний доступ со стороны третьих лиц к персональным данным субъекта персональных данных осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или других лиц, и иных случаев, установленных законодательством.
24. Оператор обязан сообщать персональные данные субъекта персональных данных по надлежаще оформленным запросам суда, прокуратуры, правоохранительных органов.
25. Для защиты персональных данных субъектов персональных данных оператор:
1) избирательно и обоснованно распределяет документы и информацию между должностными лицами оператора;
2) рационально размещает рабочие места работников, исключая бесконтрольное использование защищаемой информации;
3) обеспечивает ознакомление работников с требованиями документов по защите персональных данных;
4) обеспечивает соответствие необходимых условий в помещении для работы с персональными данными.
26. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, копирования, распространения персональных данных, а также от иных неправомерных действий.
27. Нарушение установленного законом порядка сбора, хранения, использование или распространения персональных данных влечет ответственность должностных лиц оператора в соответствии с законодательством Российской Федерации.
28. Лица, ответственные за организацию обработки персональных данных, обязаны:
1) осуществлять внутренний контроль за соблюдением должностными лицами оператора законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения должностных лиц оператора положения законодательства Российской Федерации, Ленинградской области о персональных данных, правовых актов оператора по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.
29. Должностными лицами оператора, ответственными за сбор, использование, хранение персональной информации, содержащейся в документах, предоставляемых оператору субъектами персональных данных, являются работники структурных подразделений оператора в соответствии с утвержденными положениями о них.
Приложение 2
УТВЕРЖДЕНЫ
приказом комитета
правопорядка и безопасности
Ленинградской области
от 17 декабря 2012 года N 26
ПРАВИЛА
рассмотрения запросов субъектов персональных данных или их представителей
