RSS - рассылка

Документом, определяющим политику обработки персональных данных Главного управления экономики и инвестиций Алтайского края (далее -  Главэкономики) является «Положение  о порядке обработки и обеспечении  безопасности персональных данных, обрабатываемых в Главном управлении экономики и инвестиций Алтайского края» (далее Положение) согласно пункта 2 постановления Правительства РФ от 21.04.2012 №211 к нему обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных. Настоящее Положение может быть дополнено либо изменено. В случае внесения существенных изменений Положение будет опубликовано на официальном сайте Главэкономики.

 

_____________________________________________________________________________

«ПОЛОЖЕНИЕ  О ПОРЯДКЕ ОБРАБОТКИ И ОБЕСПЕЧЕНИИ  БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ГЛАВНОМ УПРАВЛЕНИИ ЭКОНОМИКИ И ИНВЕСТИЦИЙ АЛТАЙСКОГО КРАЯ»

Перечень использованных сокращений, единиц и терминов

 

АИБ

администратор информационной безопасности.

АРМ

автоматизированное рабочее место.

АС

автоматизированная система.

ИСПДн

 

информационная система персональных данных.

КИ

конфиденциальная информация.

ЛВС

локальная вычислительная сеть.

НСД

несанкционированный доступ.

ПДн

персональные данные.

ПО

программное обеспечение.

Администратор информационной безопасности – специалист или группа специалистов учреждения, осуществляющих контроль за обеспечением защиты информации в АС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Допуск пользователей для работы в АСвыполнение обладателем информации или другими уполномоченными должностными лицами определенных процедур, связанных с оформлением права лица на доступ к защищаемой информации.

Доступ пользователей для работы в АС – получение каждым пользователем АС только письменного разрешения обладателя информации или другого уполномоченного должностного лица на право работы с информацией с учетом его служебных обязанностей.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.


1.                 Общие положения

1.1.      Настоящее Положение разработано в соответствии с Федеральным законом «О персональных данных» № 152-ФЗ от 27.07.2006 г., Постановлением Правительства РФ «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» № 781 от 17.01.2007 г., Постановлением Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» № 687 от 15.09.2008 г. и устанавливает единый порядок обработки ПДн в Главном управлении экономики и инвестиций Алтайского края (далее – Управление).

1.2.      Управление, являясь оператором ПДн, организует и осуществляет обработку ПДн в соответствии с законодательством в рамках трудовых отношений и в целях координации действий органов исполнительной власти Алтайского края, государственных заказчиков в сфере формирования, размещения и исполнения государственного заказа Алтайского края, а также организации и проведения объединенных закупок продукции для государственных нужд Алтайского края.

1.3.      К субъектам ПДн относятся: работники Управления и граждане РФ, изъявившие желание участвовать в процедурах проведения государственных закупок Алтайского края.

1.4.      В состав основных ПДн входят: фамилия, имя, отчество, пол, дата и место рождения, адрес регистрации, и места фактического проживания, контактный телефон, реквизиты полисов обязательного и добровольного медицинского страхования, страховой номер индивидуального лицевого счета в Пенсионном фонде РФ (СНИЛС), индивидуальный номер налогоплательщика (ИНН), номер банковского счета, паспортные данные, сведения о воинском учете, семейное положение и состав семьи, сведения об образовании и трудовом стаже, о заработной плате, подоходном налоге, взносах в пенсионный фонд, социальных льготах, содержание трудового договора.

1.5.      Смешанная обработка вышеуказанных ПДн будет осуществляться с использованием ПЭВМ (информация доступна лишь для строго определенных сотрудников Управления) с передачей полученной информации, с использованием сети общего пользования Интернет. Сведения хранятся в базе данных на сервере Управления. Обработка документов, содержащих ПДн, осуществляется только в помещении отдела кадров, хранятся документы в специальных шкафах. Сохранность сведений обеспечивается организационными и техническими мероприятиями.

1.6.      Настоящее Положение вводится в действие приказом начальника Управления, является обязательным для исполнения всеми работниками Управления. Изменения и дополнения вносятся приказом. Работники должны быть ознакомлены  с настоящим Положением, а также его дальнейшими изменениями и дополнениями.

2.                 Основные условия проведения обработки персональных данных

2.1.      Обработка ПДн осуществляется:

- после получения согласия субъекта ПДн, составленного по форме согласно приложению №1 к настоящему Положению, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;

- после направления уведомления об обработке ПДн в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Алтайскому краю, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона;

- после принятия необходимых мер по защите ПДн.

2.2.      В Управлении приказом руководителя назначается сотрудник (подразделение), ответственный за защиту ПДн, и определяется перечень лиц, допущенных к обработке ПДн.

2.3.      Лица, допущенные к обработке ПДн, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашение информации, содержащей ПДн, по форме согласно  приложению №2 к настоящему Положению.

2.4.      Запрещается:

- обрабатывать ПДн в присутствии лиц, не допущенных к их обработке;

- осуществлять ввод персональных данных под диктовку.

3.                 Порядок определения защищаемой информации

3.1.           В Управлении на основании «Перечня сведений конфиденциального характера», утвержденного Указом Президента РФ № 188 от 06.03.1997 г., определяется и утверждается перечень сведений ограниченного доступа, не относящихся к государственной тайне (далее - конфиденциальной информации), и перечень ИСПДн.

3.2.           На стадии проектирования каждой ИСПДн определяются цели и содержание обработки ПДн, утверждается перечень обрабатываемых ПДн.

4.                 Организация доступа к персональным данным

4.1.           Внутренний доступ (работники).

Доступ к ПДн работников имеют следующие должностные лица, непосредственно использующие ПДн в служебных целях:

- Главный бухгалтер.

- Заместитель главного бухгалтера.

- Главный специалист отдела бухучета.

- Консультант отдела кадров.

- Начальник отдела администрирования.

- Консультант отдела администрирования.

- Консультант отдела сопровождения электронных торгов.

Доступ к ПДн граждан РФ имеют следующие должностные лица, непосредственно использующие ПДн в служебных целях:

- Начальник отдела администрирования.

- Консультант отдела администрирования.

- Консультант отдела сопровождения электронных торгов.

4.1.1.     Уполномоченные лица имеют право получать только те ПДн работника или граждан РФ, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц. Все остальные работники имеют право на полную информацию только о своих персональных данных и обработке этих данных. Список рассматриваемых уполномоченных лиц определяется в Приказе «Об организации работы с персональными данными».

4.1.2.     ПДн работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.

4.1.3.     В случае смерти работника согласие на обработку его ПДн дают в письменной форме наследники работника, если такое согласие не было дано работником при его жизни.

4.1.4.     При обработке ПДн граждан РФ (рассматриваемые данные получены не от граждан), Управление до начала обработки таких ПДн обязано предоставить гражданам по их просьбе, следующую информацию (ст. 18 ФЗ №152 – ФЗ «О персональных данных»):

- реквизиты Управления

- цель обработки персональных данных и ее правовое основание;

- список предполагаемых пользователей ПДн;

- установленные Федеральным законом «О персональных данных» права субъекта ПДн.

4.2.           Внешний доступ (другие организации).

ПДн вне Управления могут представляться в государственные и негосударственные функциональные структуры в соответствии с требованиями действующего законодательства:

- налоговые органы;

- управления Пенсионного Фонда Российской Федерации;

- правоохранительные органы;

- органы статистики;

- военные комиссариаты;

- Комитеты по социальной защите населения;

- ФСС;

- ТФОМС;

- ИФНС;

- Сбербанк.

ПДн работника (в том числе, уволенного) могут быть предоставлены другим организациям по письменному запросу на бланке организации с приложением заверенной копии заявления работника о согласии предоставления ПДн соответствующей организации.

4.2.1.     Предоставление сведений о ПДн работников без соответствующего их согласия возможно в следующих случаях:

- в целях предупреждения угрозы жизни и здоровья работника;

- при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;

- при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов.

4.2.2.     Предоставление другим организациям сведений о гражданах РФ без соответствующего их согласия возможно в следующих случаях:

- в целях предупреждения угрозы жизни и здоровья граждан РФ;

- при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;

- при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов.

4.2.3.     Субъект ПДн, о котором запрашиваются сведения, должен быть уведомлён о передаче его ПДн третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф.

4.2.4.     Запрещается передача Пдн работника и граждан РФ в коммерческих целях без их согласия.

5.                 Обязанности Управления

В целях обеспечения прав и свобод человека и гражданина Управление при работе с ПДн обязано соблюдать следующие общие требования:

5.1.           Обрабатывать ПДн работника Управления и граждан РФ исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников и граждан РФ, контроля качества выполняемой работы и обеспечения сохранности имущества.

5.2.           Руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, федеральными законами и иными нормами действующего законодательства при определении содержания обрабатываемых ПДн.

5.3.           Получать ПДн непосредственно у субъекта ПДн.

Получение и дальнейшая обработка ПДн работников и граждан РФ у третьих лиц, возможно только при уведомлении работников и граждан РФ об этом заранее и с его согласия.

В уведомлении о получении ПДн у третьих лиц должна содержаться следующая информация:

- о целях получения ПДн;

- о предполагаемых источниках и способах получения ПДн;

- о характере подлежащих получению ПДн;

- о последствиях отказа работника дать письменное согласие на их получение.

5.4.           Не допускать обработку специальных категорий ПДн работника и граждан РФ, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

5.5.           Предоставлять работнику и гражданам РФ информацию, касающуюся обработки его ПДн.

5.6.           Сообщать по письменному запросу работника и граждан РФ или их законного представителя информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставлять возможность ознакомления с ними при обращении работника и граждан РФ либо их законного представителя в течение десяти рабочих дней с даты получения запроса.

5.7.           Разъяснять работнику и гражданам РФ юридические последствия отказа предоставить свои ПДн, если обязанность предоставления ПДн установлена федеральным законом.

5.8.           Обеспечивать защиту ПДн работника и граждан РФ от неправомерного их использования или утраты за счет собственных средств, в порядке, установленном действующим законодательством.

5.9.           Иметь подтверждение всех изменений ПДн работника и граждан РФ соответствующими документами.

5.10.       Не сообщать ПДн работника Управления и граждан РФ третьей стороне без их письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника и граждан РФ, а также в случаях, установленных действующим законодательством.

5.11.       Предупреждать лиц, получающих ПДн работника и граждан РФ, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

5.12.       Управлению запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении работников и граждан РФ или иным образом затрагивающих их права и законные интересы. Принятие данного решения возможно только при наличии согласия в письменной форме работников и граждан РФ.

5.13.       Разрешать доступ к ПДн работников и граждан РФ только лицам, перечисленным в приложении №2 к настоящему Положению, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы при выполнении конкретных функций.

5.14.       Работники и их представители должны быть ознакомлены под расписку с документами Управления, устанавливающими порядок обработки ПДн работников, а также об их правах, обязанностях и ответственности в этой области.

5.15.       Передавать ПДн работника его законным представителям в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми ПДн работника, которые необходимы для выполнения указанными законными представителями их функций.

5.16.       В случае достижения цели обработки ПДн Управление обязано незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий трех рабочих дней с даты достижения цели обработки ПДн, если иное не предусмотрено федеральными законами, и уведомить об этом ПДн или его законного представителя.

5.17.       Исполнять иные обязанности, предусмотренные действующим законодательством Российской Федерации в области ПДн.

6.                 Обязанности работника

6.1.           Работник обязан:

- По требованию Управления предоставлять ему необходимый комплекс достоверных, подтвержденных документально ПДн, перечень которых предусмотрен п. 1.4 настоящего Положения.

- Своевременно, в течение пяти рабочих дней, сообщать Управлению об изменении своих ПДн.

- Предоставлять Управлению сведения о своих ПДн на протяжении всей своей трудовой деятельности.

- Исполнять иные обязанности, предусмотренные законодательством Российской Федерации в области ПДн.

7.                 Права Управления, как оператора персональных данных

7.1.           Управление вправе:

- Запрашивать ПДн работников и граждан РФ с целью их последующего обновления в документах.

- Проверять достоверность предоставляемых работником ПДн.

- Контролировать своевременность предоставляемых работником ПДн.

- Использовать иные права, предусмотренные действующим законодательством Российской Федерации в области ПДн.

8.     Права Управления, как оператора персональных данных

Работник и граждане РФ имеют право:

8.1.           По письменному запросу безвозмездно получать информацию о своих ПДн  и обработке этих данных, включая право на получение копий любой записи, содержащей ПДн в течение десяти рабочих дней со дня подачи этого запроса в Управление.

8.2.           Требовать от Управления исправления, исключения и дополнения всех неверных или неполных персональных данных, а также оповещения обо всех изменениях лиц, которым ранее были сообщены неверные ПДн.

8.3.           Обжаловать в суд любые неправомерные действия или бездействие Управления при обработке и защите его ПДн в порядке, предусмотренном действующим законодательством.

8.4.           Определять представителей для защиты своих ПДн.

8.5.           Использовать иные права, предусмотренные законодательством Российской Федерации в области ПДн.

9.                 Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации

9.1.           Обработка ПДн в ИСПДн с использованием средств автоматизации осуществляется в соответствии с требованиями постановлением Правительства РФ «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» № 781 от 17.01.2007 г., других нормативных и руководящих документов, регламентирующих обеспечение безопасности ПДн.

9.2.           Оператором осуществляется классификация ИСПДн в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России «Об утверждении Порядка проведения классификации информационных систем персональных данных» № 55/86/20 от 13.02.2008 г. в зависимости от категории обрабатываемых данных и их количества.

9.3.           Мероприятия по обеспечению безопасности ПДн на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК России «О методах и способах защиты информации в информационных системах персональных данных» №58 от 05.02.2010 г.

9.4.           Не допускается обработка ПДн в ИСПДн с использованием средств автоматизации при отсутствии:

- утвержденных организационно-технических документов о порядке эксплуатации ИСПДн, включающих акт классификации ИСПДн, инструкции пользователя, администратора по организации антивирусной защиты, и других нормативных и методических документов;

- настроенных средств защиты от НСД, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;

- охраны и организации режима допуска в помещения, предназначенные для обработки ПДн;

10.             Порядок обработки персональных данных без использования средств автоматизации

10.1.       Обработка ПДн без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.

10.2.       При неавтоматизированной обработке различных категорий ПДн должен использоваться отдельный материальный носитель для каждой категории ПДн.

10.3.       При неавтоматизированной обработке ПДн на бумажных носителях:

- не допускается фиксация на одном бумажном носителе ПДн, цели обработки, которых заведомо не совместимы;

- ПДн должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

- документы, содержащие ПДн, формируются в дела в зависимости от цели обработки ПДн;

- дела с документами, содержащими ПДн, должны иметь внутренние описи документов с указанием цели обработки и категории ПДн.

10.4.       При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовые формы), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки ПДн, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;

б) типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на неавтоматизированную обработку ПДн, - при необходимости получения письменного согласия на обработку ПДн;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;

г) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

10.5.       Неавтоматизированная обработка ПДн в электронном виде осуществляется на внешних электронных носителях информации.

10.6.       При отсутствии технологической возможности осуществления неавтоматизированной обработки ПДн в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к ПДн лиц, не допущенных к их обработке.

10.7.       Электронные носители информации, содержащие ПДн, учитываются в «Журнале учета бумажных и съемных носителей КИ, в т.ч. ПДн».

К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории ПДн.

10.8.       При несовместимости целей неавтоматизированной обработки ПДн, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:

а) при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;

б) при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.

10.9.       Документы и внешние электронные носители информации, содержащие ПДн, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

10.10.   Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, затирание).

11.             Ответственность должностных лиц

11.1.       Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн как работника, так и граждан РФ, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии со ст. 13.11 Кодекса РФ об административных правонарушениях. К данным лицам могут быть применены следующие дисциплинарные взыскания:

- замечание;

- выговор;

- предупреждение о неполном должностном соответствии;

- освобождение от занимаемой должности;

- увольнение.

11.2.       За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.

11.3.       Копия приказа о применении к работнику дисциплинарного взыскания с указанием оснований его применения вручается работнику под расписку в течение пяти дней со дня издания приказа.

11.4.       Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания.