Интервал между буквами и строками: Стандартный Средний Большой

Свернуть настройки Шрифт: Arial Times New Roman

07 мая 2014

 
Оглавление
I. Общие положения. 3
II. Принципы и условия обработки персональных данных. 3
III. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных. 4
IV. Цели обработки персональных данных, категории персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются. 5
V. Право доступа к персональным данным, хранение и уничтожение персональных данных. 8
VI. Правила работы с обезличенными персональными данными. 9
I. Общие положения
1. Настоящая Политика Департамента имущественных отношений Тюменской области в отношении обработки и обеспечения безопасности персональных данных (далее – Политика) определяет высокоуровневую политику в отношении обработки персональных данных в Департаменте имущественных отношений Тюменской области (далее – департамент), содержит правила обработки персональных данныхи сведения о реализуемых требованиях к защите персональных данных в департаменте.
2. Настоящая Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и  конфиденциальной информации и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в департаменте, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
3. Понятия, применяемые в настоящей Политике, используются в значениях, установленных нормами Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
4. Согласно пункту 2 статьи 18.1 Закона о персональных данных департамент обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
5. Департамент в рамках выполнения своей деятельности осуществляет обработку персональных данных, является оператором персональных данных с соответствующими правами и обязанностями, определенными Законом о персональных данных и иными нормативными правовыми актами Российской Федерации (далее - РФ).
6. Состав обрабатываемых данных, категории субъектов, чьи персональные данные обрабатываются департаментом в информационных системах, цели и правовые основания их обработки закреплены для каждой информационной системы департамента «Перечнем персональных данных, обрабатываемых в ИСПДН».
II. Принципы и условия обработки персональных данных
7. Обработка персональных данных осуществляется департаментом с соблюдением принципов и условий, предусмотренных нормами Закона о персональных данных.
8. Департамент обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ и договором с субъектом.
9. Обработка Департаментом специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, установленных Законом о персональных данных.
    Обработка Департаментом биометрических категорий персональных данных, характеризующих биологические и физические особенности человека, осуществляются только в целях выдачи служебного удостоверения субъекту персональных данных с его письменного согласия. 
10. Департамент не осуществляет трансграничную передачу персональных данных.
11. Департамент не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.
III. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
12. В департаменте используются следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
12.1. Назначение в департаменте лица, ответственного за организацию обработки персональных данных.
12.2. Издание документов, определяющих политику департамента в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
12.3. Осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике департамента в отношении обработки персональных данных, локальным актам департамента.
12.4. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона о персональных данных, включая:
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных департамента;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных департамента, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных департамента;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных департамента, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Департамента;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных департамента.
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства РФ, соотношение указанного вреда и принимаемых департаментом мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
доступ к содержанию электронного журнала сообщений возможен исключительно для администратора безопасности, или структурного подразделения, ответственного за обеспечение безопасности персональных дынных в информационных системах департамента.
12.5. Ознакомление сотрудников департамента, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику департамента в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
12.6. Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей.
12.7. Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в области персональных данных.
12.8. Недопущение обработки персональных данных, несовместимых с целями сбора персональных данных.
12.9. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
12.10. Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
12.11. Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
IV. Цели обработки персональных данных, категории персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются
13. Возможные цели обработки персональных данных:
13.1. Осуществление статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 Закона о персональных данных.
13.2. Обеспечение доступа неограниченного круга лиц к общедоступным персональным данным, который предоставлен субъектом персональных данных либо по просьбе субъекта персональных данных.
13.3. Выполнение возложенных на департамент функций, полномочий и обязанностей, предоставление государственных услуг.
14. В департаменте могут обрабатываться следующие категории персональных данных:
14.1. фамилия, имя, отчество (в том числе прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения));
14.2. год, месяц, дата и место рождения;
14.3. адрес места жительства (место регистрации и фактический адрес) и дата регистрации по месту жительства или по месту пребывания;
14.4. семейное положение;
14.5. социальное положение;
14.6. имущественное положение;
14.7. информация о владении иностранными языками и языками народов Российской Федерации;
14.8. сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения);
14.9. реквизиты полиса ОМС;
14.10. идентификационный номер налогоплательщика;
14.11. номер страхового свидетельства государственного пенсионного страхования;
14.12. отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
14.13. сведения о доходах моего(ей) супруга(и) и несовершеннолетних членов моей семьи;
14.14. сведения об имуществе и обязательствах имущественного характера моих, моего(ей) супруга(и) и несовершеннолетних членов моей семьи;
14.15. состав семьи;
14.16. данные свидетельств о регистрации брака и рождении детей;
14.17. пребывание за границей (когда, где, с какой целью);
14.18. информация о повышении квалификации и профессиональной переподготовке, аттестации;
14.19. сведения о последнем месте государственной или муниципальной службы;
14.20. номера страховых свидетельств государственного пенсионного страхования, наименование учреждения дошкольного (школьного) образования детей;
 14.21. степень родства, фамилии, имена, отчества, даты рождения, пол, гражданство близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
14.22. места рождения, места работы и адрес места жительства (место регистрации и фактический адрес) близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
14.23. фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен);
14.24. близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей);
14.25. стаж работы;
14.26. паспортные данные или данные иного документа, удостоверяющего личность;
14.27. номера телефонов (мобильного и домашнего);
14.28. пол;
14.29. страховой номер индивидуального лицевого счета в Пенсионном фонде РФ;
14.30. гражданство;
14.31. информация о наличии (отсутствии) судимости;
14.32. информация о допуске к государственной тайне, оформленного за период работы, службы, учебы (форма, номер и дата);
14.33. результаты обязательных медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования;
14.34. информация о наличии (отсутствии) заболевания, препятствующего поступлению на государственную гражданскую службу Тюменской области или ее прохождению, подтвержденная заключением медицинского учреждения;
14.35. сведения о доходах, полученных мной в данном учреждении и от иной оплачиваемой деятельности, составе декларируемых сведений о наличии материальных ценностей;
14.36.информация, содержащаяся в фотографии;
14.37. государственные и ведомственные награды;
14.38. почетные звания;
14.39. социальные льготы;
14.40. информация, содержащаяся в документах по служебным и иным проверкам, осуществляемым департаментом в рамках действующего законодательства;
14.41. другая информация, необходимая департаменту в связи со служебными (трудовыми) отношениями.
15. Категории субъектов, персональные данные которых обрабатываются в департаменте:
15.1. Граждане, претендующие на замещение должности государственной гражданской службы Тюменской области.
15.2. Супруг (супруга), несовершеннолетние дети граждан, претендующих на замещение должности государственной гражданской службы Тюменской области.
15.3. Государственные гражданские служащие департамента.
15.4. Супруг (супруга), дети государственных гражданских служащих департамента.
15.5. Лица, вышедшие на пенсию с государственной гражданской службы Тюменской области.
15.6. Сотрудники, не являющиеся гражданскими служащими департамента.
15.7. Лица, уволенные из департамента.
15.8. Лица, представляемые к наградам Тюменской области.
15.9. Лица, состоящие в договорных и гражданско-правовых отношениях с департаментом.
15.10. Граждане, направившие обращение в департамент, пришедшие лично (в рамках административных регламентов исполнения государственных функций департаментом, предоставления государственных услуг).
16. В департаменте для каждой цели обработки персональных данных определяется содержание обрабатываемых персональных данных:
16.1. Для цели обработки персональных данных, указанной в пункте 13.1 настоящей Политики, определяются содержание персональных данных, перечисленное в подпунктах 14.2—14.19 настоящей Политики, и соответствующие категории субъектов, персональные данные которых обрабатываются в департаменте, указанные в пункте 15 настоящей Политики;
16.2. Для целей обработки персональных данных, указанных в подпунктах 13.2 и 13.3 настоящей Политики, определяются содержание персональных данных, перечисленное в пункте 14 настоящей Политики, и соответствующие категории субъектов, персональные данные которых обрабатываются в департаменте, указанные в  пункте 15 настоящей Политики.
V. Право доступа к персональным данным, хранение и уничтожение персональных данных
17. Право внутреннего доступа к персональным данным субъекта имеют лица, замещающие должности, включенные в перечень должностей государственной гражданской службы департамента, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждаемые приказом департамента.
18. Все сотрудники департамента, имеющие доступ к персональным данным субъектов, обязаны подписать обязательство о неразглашении персональных данных.
19. Если сроки обработки и хранения персональных данных не установлены федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то обработка и хранение персональных данных категорий субъектов, персональные данные которых обрабатываются в департаменте, осуществляются не дольше, чем этого требуют цели их обработки и хранения.
20. Хранение персональных данных субъектов осуществляется структурными подразделениями департамента в соответствии с перечнем персональных данных, утвержденных приказом департамента, и перечнем информационных систем персональных данных, утвержденным приказом департамента.
21. Формирование, ведение и хранение в течение установленного срока личных дел гражданских служащих департамента, проходящих гражданскую службу в департаменте, руководителей подведомственных департаменту организаций, иных материалов, содержащих их персональные данные, ведение и хранение личных карточек гражданских служащих (унифицированная форма № Т-2ГС(МС), утвержденная постановлением Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», личных карточек руководителей, указанных в настоящем пункте, а также хранение личных дел лиц, уволенных с гражданской службы из департамента, руководителей, указанных в настоящем пункте, с дальнейшей их передачей в архив, осуществляются структурным подразделением департамента, в функции которого входит ведение кадрового делопроизводства в департаменте, в порядке, определенном Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденным Указом Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».
21. Подразделения департамента, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением Правительства РФ № 687 от 15.09.2008.
22. Порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в департаменте для категорий субъектов, персональные данные которых обрабатываются в департаменте:
22.1. Уничтожению подлежат обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
22.2. В случае отсутствия возможности уничтожения персональных данных департамент осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению департамента) и уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством Российской Федерации.
22.3. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
23. Обеспечение безопасности при обработке персональных данных в департаменте осуществляется в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
24. В случае изменения персональных данных гражданских служащих, проходящих гражданскую службу в департаменте, руководителей подведомственных департаменту организаций, обрабатываемых в департаменте в связи с реализацией трудовых отношений, а также обусловленных служебным контрактом, он в течение 7 (семи) календарных дней обязан сообщать в структурное подразделение департамента, в функции которого входит ведение кадрового делопроизводства в департаменте.
VI. Правила работы с обезличенными персональными данными
ОБЩИЕ ПОЛОЖЕНИЯ
25.   Настоящие Правила работы с обезличенными персональными данными Департамента разработаны с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.
26.   Настоящие Правила определяют порядок работы с обезличенными данными Департамента.
УСЛОВИЯ ОБЕЗЛИЧИВАНИЯ
27.   Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Департамента и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
28.   Способы обезличивания при условии дальнейшей обработки персональных данных:
уменьшение перечня обрабатываемых сведений;
замена части сведений идентификаторами;
обобщение – понижение точности некоторых сведений;
понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
деление сведений на части и обработка в разных информационных системах;
иные способы обезличивания, предусматривающие возможность дальнейшей обработки данных.
29.   Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
30.   Для обезличивания персональных данных годятся любые способы явно незапрещенные законодательно.
31.   Ответственными за проведение мероприятий по обезличиванию обрабатываемых персональных данных являются ответственный за организацию обработки персональных данных, ответственный за организацию обработки персональных данных в области эксплуатации информационных систем персональных данных и государственные гражданские служащие, замещающие следующие должности государственной гражданской службы департамента:
- директор;
- руководители структурных подразделений, обрабатывающих персональных данных.
32.   Решение о необходимости обезличивания персональных данных принимает ответственный за организацию обработки персональных данных в Департаменте.
33.   Ответственные за эксплуатацию ИСПДн, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания, если это необходимо.
34.   Сотрудники структурных подразделений, обслуживающих базы данных с персональными данными, совместно с ответственным за эксплуатацию ИСПДн, осуществляют непосредственное обезличивание выбранным способом.
ПОРЯДОК РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ
35.   Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.
36.   При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
парольной политики;
антивирусной политики;
правил работы со съемными носителями (если они используется);
правил резервного копирования;
правил доступа в помещения, где расположены элементы информационных систем;
иных предусмотренных законодательством РФ законов и правовых актов.
37.   При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
правил хранения бумажных носителей;
правил доступа к ним и в помещения, где они хранятся;
иных предусмотренных законодательством РФ законов и правовых актов.