Приказ министерства сельского хозяйства и продовольственных ресурсов Нижегородской области от 31.03.2015 N 31 "Об утверждении Правил обработки персональных данных в министерстве, перечня должностей служащих министерства, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным и перечня должностей гражданских служащих, ответственных за обезличивание персональных данных"
МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА И ПРОДОВОЛЬСТВЕННЫХ
РЕСУРСОВ НИЖЕГОРОДСКОЙ ОБЛАСТИ
ПРИКАЗ
от 31 марта 2015 г. № 31
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ, ПЕРЕЧНЯ ДОЛЖНОСТЕЙ СЛУЖАЩИХ МИНИСТЕРСТВА,
ЗАМЕЩЕНИЕ КОТОРЫХ ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО ОСУЩЕСТВЛЕНИЕ ДОСТУПА
К ПЕРСОНАЛЬНЫМ ДАННЫМ И ПЕРЕЧНЯ ДОЛЖНОСТЕЙ ГРАЖДАНСКИХ
СЛУЖАЩИХ, ОТВЕТСТВЕННЫХ ЗА ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказываю:
утвердить прилагаемые:
1. Правила обработки персональных данных в министерстве сельского хозяйства и продовольственных ресурсов Нижегородской области.
2. Перечень должностей служащих министерства, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.
3. Перечень должностей гражданских служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
Министр
А.И.МОРОЗОВ
Утверждены
приказом министерства
сельского хозяйства и
продовольственных ресурсов
Нижегородской области
от 31.03.2015 № 31
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ СЕЛЬСКОГО
ХОЗЯЙСТВА И ПРОДОВОЛЬСТВЕННЫХ РЕСУРСОВ НИЖЕГОРОДСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Настоящие Правила обработки персональных данных в министерстве сельского хозяйства и продовольственных ресурсов Нижегородской области (далее - Правила) разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Настоящие Правила устанавливают:
порядок определения цели обработки персональных данных;
процедуры, определяющие для каждой цели обработки данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются;
сроки обработки и хранения обрабатываемых персональных данных;
порядок обработки, хранения, распространения, блокирования, использования, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований персональных данных в министерстве сельского хозяйства и продовольственных ресурсов Нижегородской области (далее - министерство), осуществляемые с использованием средств автоматизации и без использования средств автоматизации;
правила работы с обезличенными данными;
процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
правила рассмотрения запросов субъектов персональных данных или их представителей;
правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора.
1.3. Министерство самостоятельно или совместно с другими лицами (далее - оператор) организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Понятия и определения используются в значениях, определенных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", либо. их значение дается по тексту.
1.4. Обработка персональных данных должна:
- осуществляться в соответствии с действующим законодательством,
- ограничиваться достижением конкретных, заранее определенных и законных целей.
1.5. Не допускается:
- обработка персональных данных, не совместимая с целями сбора персональных данных;
- объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
1.6. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
1.7. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
1.8. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
1.9. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования средств автоматизации.
1.10. Решение об установке информационной системы принимает министр сельского хозяйства и продовольственных ресурсов Нижегородской области.
1.11. Министерство (уполномоченное лицо) до начала обработки персональных данных уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, установленных законодательством Российской Федерации.
2. Цели, субъекты, создание,
содержание обрабатываемых персональных данных
2.1. Цель обработки персональных данных определяется при создании соответствующей информационной системы либо базы данных. Случаи, в которых допускается обработка персональных данных, предусмотрены Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".
2.2. Основными целями обработки персональных данных в министерстве являются осуществление и выполнение возложенных законодательством Российской Федерации, Нижегородской области на министерство функций, полномочий, обязанностей.
2.3. Категории субъектов, персональные данные которых обрабатываются, определяются для каждой цели обработки персональных данных при создании соответствующей информационной системы, базы данных.
2.4. Субъектами, персональные данные которых обрабатываются для указанных в п. 2.2 целей, являются лица, персональные данные которых стали известны в результате реализации вопросов министерства (выполнения функций), гражданские служащие, работники, замещающие должности, не являющиеся должностями государственной гражданской службы министерства, лица, замещающие должности руководителей подведомственных министерству государственных бюджетных учреждений, и граждане, претендующие на замещение вышеназванных должностей.
2.5. К персональным данным относятся:
1) фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
5) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
6) адрес места жительства (адрес регистрации, фактического проживания):
7) номер контактного телефона или сведения о других способах связи;
8) реквизиты страхового свидетельства государственного пенсионного страхования;
9) идентификационный номер налогоплательщика;
10) реквизиты страхового полиса обязательного медицинского страхования;
11) реквизиты свидетельства государственной регистрации актов гражданского состояния;
12) семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
13) сведения о трудовой деятельности;
14) сведения о воинском учете и реквизиты документов воинского учета;
15) сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
16) сведения об ученой степени;
17) информация о владении иностранными языками, степень владения;
18) медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
19) фотография;
20) сведения о прохождении государственной гражданской службы (о работе), в том числе: основание и дата поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы (на работу), основание и дата назначения, перевода, перемещения на иную должность, наименование замещаемых должностей с указанием структурных подразделений, размера денежного содержания (денежного вознаграждения, заработной платы), результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;
21) информация, содержащаяся в служебном контракте, трудовом договоре, дополнительных соглашениях к ним;
22) сведения о пребывании за границей;
23) информация о классном чине государственной гражданской службы Нижегородской области (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине федеральной гражданской службы), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
24) информация о наличии или отсутствии судимости;
25) информация об оформленных допусках к государственной тайне;.
26) государственные награды, иные награды и знаки отличия;
27) сведения о профессиональной переподготовке и (или) повышении квалификации;
28) информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания (заработной платы);
29) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
30) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.2 Правил обработки персональных данных в министерстве.
2.6. Объем персональных данных, необходимый для конкретной цели обработки персональных данных, определяется при создании информационной системы, базы данных и должен строго соответствовать цели обработки персональных данных.
2.7. Ответственность за создание базы данных, содержащей персональные данные, цели обработки которой не соответствуют функциям соответствующего структурного подразделения министерства, управления, включение в базу данных субъекта, обработка персональных данных которого не соответствует целям обработки, а также за расширение объема персональных данных по отношению к заявленным целям их обработки несут руководители структурных подразделений министерства.
3. Получение персональных данных
3.1. Субъект персональных данных принимает решение о предоставлении его персональных данных, а в случаях, предусмотренных федеральным законом, дает согласие на обработку своих персональных данных. Субъект персональных данных принимает решение и дает согласие свободно, своей волей и в своем интересе.
Типовая форма согласия субъекта на обработку персональных данных представлена в приложении № 1 к настоящим Правилам.
3.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
3.3. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. Типовая форма согласия субъекта на обработку персональных данных подопечного представлена в приложении № 2 к настоящим Правилам.
3.4. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни, по форме, представленной в приложении № 2 к настоящим Правилам.
3.5. В случаях, предусмотренных законодательством Российской Федерации, персональные данные могут быть получены от лица, не являющегося субъектом персональных данных (третьего лица).
3.6. Если персональные данные получены не от субъекта персональных данных, должностные лица, ответственные за предоставление (осуществление) соответствующей функции, в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", до начала обработки таких персональных данных обязаны уведомить субъекта персональных данных.
3.7. В случае отказа субъекта персональных данных предоставить свои персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", лицо, ответственное за предоставление (осуществление) функции, обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные приведена в приложении № 3 к настоящим Правилам.
4. Обработка персональных данных
4.1. Обработка персональных данных в министерстве осуществляется гражданскими служащими, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные.
Гражданские служащие, в должностные обязанности которых входит выполнение функций, связанных с получением информации, содержащей персональные данные, подписывают соглашение о неразглашении персональных данных и обязательство гражданского служащего, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (типовая форма представлена в приложении № 4 к настоящим Правилам).
4.2. Перечень должностей служащих министерства, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, устанавливается министром.
4.3. Все сотрудники, имеющие доступ к персональным данным субъектов, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), настоящими Правилами и иными правовыми актами министерства по вопросам обработки персональных данных. Обязанность ознакомить сотрудников с законодательством и другими правовыми актами, регулирующими порядок работы с персональными данными, возлагается на отдел кадровой политики и государственной гражданской службы министерства.
Форма листа ознакомлений приведена в приложении № 5 к настоящим Правилам.
4.4. Запрещается обработка персональных данных:
- лицами, не допущенными к их обработке;
- под диктовку.
5. Порядок обработки персональных данных
в информационных системах персональных данных
с использованием средств автоматизации
5.1. Обработка персональных данных в министерстве осуществляется в соответствии с законодательством Российской Федерации, техническими регламентами, а также правовыми актами министерства о создании, введении в эксплуатацию и инструкцией по эксплуатации соответствующей информационной системы.
5.2. Обработка персональных данных допускается после:
- назначения лица, ответственного за обработку персональных данных в соответствующей информационной системе;
- утверждения перечня должностей гражданских служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным соответствующей информационной системы;
- ознакомления гражданского служащего, осуществляющего обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, другими правовыми актами, регулирующими работу с персональными данными.
5.3. Перечень информационных систем персональных данных утверждается министром.
5.4. Персональные данные могут быть представлены для ознакомления:
а) гражданским служащим, допущенным к обработке персональных данных с использованием средств автоматизации, в части, касающейся исполнения их должностных обязанностей;
б) уполномоченным работникам министерства в порядке, установленном законодательством Российской Федерации;
в) субъекту персональных данных.
5.5. Гражданскими служащими, ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:
а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства;
б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) постоянный контроль за обеспечением уровня защищенности персональных данных;
д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
5.6. В случае выявления нарушений порядка обработки персональных данных в информационных системах уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.
6. Порядок обработки персональных данных
без использования средств автоматизации
6.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется в соответствии с законодательством Российской Федерации, постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", техническими регламентами, а также правовыми актами министерства о создании, введении в эксплуатацию и инструкцией по эксплуатации соответствующей информационной системы.
6.2. Решение о создании информационного ресурса, содержащего персональные данные, в форме журнала или базы данных принимается министром путем внесения соответствующих документов в номенклатуру дел.
6.3. Обработка персональных данных допускается после:
- назначения лица, ответственного за обработку персональных данных;
- утверждения перечня должностей гражданских служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
- ознакомления гражданского служащего, осуществляющего обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, правовыми актами министерства, регулирующими работу с персональными данными.
6.4. Журналы, содержащие персональные данные, хранятся в закрытых шкафах, исключающих доступ посторонних лиц.
7. Сроки обработки и хранения персональных данных,
порядок их уничтожения при достижении целей обработки
или при наступлении иных законных оснований
7.1. Сроки обработки персональных данных определяются в соответствии с целью обработки. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки персональных данных, если иное не предусмотрено федеральным законодательством.
7.2. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством.
7.3. Сроки обработки, хранения, уничтожения либо обезличивания персональных данных в информационных системах устанавливаются инструкцией по эксплуатации соответствующей информационной системы.
7.4. Порядок создания, хранения, уничтожения журналов и электронных баз данных, содержащих персональные данные, устанавливается инструкцией по делопроизводству в органах исполнительной власти Нижегородской области и их структурных подразделениях.
7.5. Сроки хранения журналов и электронных баз данных, содержащих персональные данные, устанавливаются номенклатурой дел министерства, утверждаемой в установленном порядке.
7.6. В целях уничтожения обработанных персональных данных приказом министерства создается комиссия. Уничтожение обработанных персональных данных производится комиссией с составлением соответствующего акта (приложение № 6 к настоящим Правилам).
8. Правила осуществления внутреннего контроля соответствия
обработки персональных данных требованиям к защите
персональных данных в министерстве
8.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям лицо, ответственное за организацию обработки персональных данных в министерстве, организует проведение периодических проверок соблюдения гражданскими служащими законодательства Российской Федерации о персональных данных и соблюдения требований к защите персональных данных не реже одного раза в год.
8.2. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного приказом министерства ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям (плановые проверки), а также на основании поступившего письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в ее результатах.
8.3. Плановые проверки осуществляются лицом (лицами), ответственным за организацию обработки персональных данных в министерстве.
Внеплановые проверки осуществляются комиссией по осуществлению внутреннего контроля соответствия обработки персональных данных установленным требованиям, создаваемой приказом министерства. Персональный состав комиссии и порядок ее работы устанавливаются приказом министерства.
8.4. При проведении плановой проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- порядок и условия соблюдения гражданскими служащими, допущенными к работе с персональными данными, Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", настоящих Правил, правовых актов министерства по работе с персональными данными.
8.5. При проведении внеплановой проверки соответствия обработки персональных данных установленным требованиям осуществляется полностью, объективно, всесторонне проверка сведений, указанных в заявлении о нарушениях правил обработки персональных данных.
8.6. Ответственный за организацию обработки персональных данных (комиссия) имеет право:
- запрашивать у сотрудников информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить министру предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить министру предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
8.7. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных (членам комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
8.8. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, министру докладывает ответственный за организацию обработки персональных данных, председатель комиссии, в форме письменного заключения.
9. Правила рассмотрения запросов субъектов персональных
данных или их представителей в министерстве
9.1. Запрос субъекта персональных данных о предоставлении информации, касающейся обработки его персональных данных, указанной в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", подается в структурное подразделение министерства, осуществляющее обработку персональных данных.
Регистрация запроса осуществляется в день поступления.
9.2. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.3. Содержание запроса должно соответствовать требованиям, установленным Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".
9.4. Гражданский служащий обязан:
- сообщить в порядке статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными;
- предоставить информацию по запросу субъекта персональных данных в сроки, установленные федеральным законодательством.
9.5. Гражданский служащий вправе отказать субъекту персональных данных в предоставлении информации по основаниям, указанным в федеральном законодательстве. В ответе должно быть указано основание для отказа в предоставлении информации со ссылкой на соответствующую норму федерального закона.
9.6. Возможность ознакомления с персональными данными предоставляется на безвозмездной основе лицом, ответственным за обработку персональных данных.
10. Правила работы с обезличенными
персональными данными в министерстве
10.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
10.2. Для обезличивания персональных данных применяются способы, не запрещенные законодательством Российской Федерации.
10.3. Способы обезличивания при условии дальнейшей обработки персональных данных:
1) уменьшение перечня обрабатываемых сведений;
2) замена части сведений идентификаторами;
3) обобщение - понижение точности некоторых сведений;
4) понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
5) деление сведений на части и обработка в разных информационных системах;
6) другие способы.
10.4. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
10.5. Перечень должностей гражданских служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, устанавливается приказом министерства.
10.6. Решение о необходимости обезличивания персональных данных принимает министр на основании предложений по обезличиванию персональных данных. Обоснование такой необходимости и способ обезличивания подготавливаются гражданскими служащими, непосредственно осуществляющими обработку персональных данных. Гражданские служащие, обслуживающие базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных осуществляют непосредственное обезличивание выбранным способом.
10.7. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
10.8. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
10.9. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используются);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
10.10. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
1) правил хранения бумажных носителей;
2) правил доступа к ним и в помещения, где они хранятся.
11. Порядок доступа гражданских служащих
в помещения министерства, в которых ведется
обработка персональных данных
11.1. В целях обеспечения соблюдения требований к ограничению доступа в служебные помещения обеспечивается:
- использование служебных помещений строго по назначению;
- наличие на входах в служебные помещения дверей, оборудованных запорными устройствами;
- содержание дверей служебных помещений в нерабочее время в закрытом на запорное устройство состоянии;
- содержание окон в нерабочее время в закрытом состоянии;
- доступ в служебные помещения граждан строго в рабочее время.
11.2. Доступ в служебные помещения гражданских служащих допускается только для выполнения поручений и получения информации, необходимой для исполнения служебных обязанностей в соответствии с должностным регламентом (инструкцией), иных лиц - в случаях, установленных законодательством.
При этом ведется журнал учета лиц (организаций), получивших доступ к персональным данным, и (или) лиц организаций), которым такая информация была предоставлена или передана в помещениях министерства.
11.3. Гражданским служащим запрещается передавать ключи от служебных помещений третьим лицам.
11.4. Текущий контроль за содержанием служебных помещений осуществляет ответственный за организацию обработки персональных данных.
12. Процедуры, направленные на выявление и предотвращение
нарушений законодательства в сфере персональных данных
12.1. К процедурам, направленным на предотвращение и выявление нарушений законодательства в отношении обработки персональных данных и устранение таких последствий, относятся:
1) назначение ответственного за организацию обработки персональных данных в министерстве;
2) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных";
3) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
4) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации и настоящих Правил, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом;
5) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
6) запрет на обработку персональных данных лицами, не допущенными к их обработке;
7) запрет на обработку персональных данных под диктовку.
Приложение № 1
к Правилам
обработки персональных данных
в министерстве
Типовая форма согласия
субъекта на обработку персональных данных
г. Н.Новгород "____" ____________ ______ г.
Я, _______________________________________________________________________,
(Ф.И.О.)
__________________ серия _______________ № ____________ выдан _____________
(вид документа, удостоверяющего личность)
__________________________________________________________________________,
(когда и кем)
проживающий(ая) по адресу _________________________________________________
__________________________________________________________________________,
настоящим даю свое согласие на обработку министерством сельского хозяйства
и продовольственных ресурсов Нижегородской области (адрес: 603082, г.
Н.Новгород, Кремль, корпус 2) моих персональных данных и подтверждаю, что,
давая такое согласие, я действую своей волей и в своих интересах.
Согласие дается мною для целей ____________________________________________
___________________________________________________________________________
(цель обработки персональных данных)
и распространяется на следующую информацию: _______________________________
___________________________________________________________________________
__________________________________________________________________________.
(перечень персональных данных)
Настоящее согласие предоставляется на осуществление любых действий в
отношении моих персональных данных, которые необходимы для достижения
указанных выше целей, включая без ограничения сбор, систематизацию,
накопление, хранение, уточнение (обновление, изменение), использование,
распространение (в том числе передача), обезличивание, блокирование,
уничтожение, а также осуществление любых иных действий с моими
персональными данными с учетом федерального законодательства.
В случае неправомерного использования предоставленных мною
персональных данных согласие отзывается моим письменным заявлением.
Данное согласие действует с "___" _________ ______ г. бессрочно и
может быть отозвано в любое время по моему письменному заявлению.
"___" ______________ 20___ г. ___________
(подпись)
Приложение № 2
к Правилам
обработки персональных данных
в министерстве
Типовая форма согласия
субъекта на обработку персональных данных подопечного
г. Н.Новгород "____" __________ ______ г.
Я, _______________________________________________________________________,
(Ф.И.О.)
_________________ серия ___________ № _____________ выдан _________________
(вид документа, удостоверяющего личность)
__________________________________________________________________________,
(когда и кем)
проживающий(ая) по адресу _________________________________________________
__________________________________________________________________________,
настоящим даю свое согласие на обработку министерством сельского хозяйства
и продовольственных ресурсов Нижегородской области (адрес: 603082, г.
Н.Новгород, Кремль, корпус 2) на обработку персональных данных моего/ей
сына/дочери (подопечного) _________________________________________________
___________________________________________________________________________
(Ф.И.О. сына, дочери, подопечного)
и подтверждаю, что, давая такое согласие, я действую своей волей и в
интересах моего/ей сына (дочери, подопечного).
Согласие дается мною для целей ____________________________________________
___________________________________________________________________________
(цель обработки персональных данных)
и распространяется на следующую информацию: _______________________________
___________________________________________________________________________
(перечень персональных данных)
Настоящее согласие предоставляется на осуществление любых действий в
отношении персональных данных моего/ей сына/дочери (подопечного), которые
необходимы для достижения указанных выше целей, включая без ограничения
сбор, систематизацию, накопление, хранение, уточнение (обновление,
изменение), использование, распространение (в том числе передача),
обезличивание, блокирование, уничтожение, а также осуществление любых иных
действий с персональными данными моего/ей сына/дочери (подопечного) с
учетом федерального законодательства.
В случае неправомерного использования предоставленных персональных
данных моего/ей сына/дочери (подопечного) согласие отзывается моим
письменным заявлением.
Данное согласие действует с "___" __________ _______ г. бессрочно и
может быть отозвано в любое время по моему письменному заявлению.
"___" _________ 20___ г. ___________
(подпись)
Приложение № 3
к Правилам
обработки персональных данных
в министерстве
Типовая форма разъяснения
субъекту персональных данных юридических последствий
отказа предоставить свои персональные данные
Уважаемый(ая) ________________________
В соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ "О персональных данных" уведомляем Вас, что обязанность предоставления Вами персональных данных установлена пунктом __________ Федерального закона от ____________ № ____________, а также следующими нормативными актами (указать НПА). В случае отказа Вами предоставить свои персональные данные министерство сельского хозяйства и продовольственных ресурсов Нижегородской области (далее - министерство) не сможет на законных основаниях осуществлять такую обработку, что приведет к следующим для Вас юридическим последствиям (перечислить юридические последствия для субъекта персональных данных, то есть случаи возникновения, изменения или прекращения личных либо имущественных прав граждан или случаи, иным образом затрагивающие его права, свободы и законные интересы).
В соответствии с действующим законодательством Российской Федерации в области персональных данных Вы имеете право: на получение сведений о министерстве (в объеме, необходимом для защиты своих прав и законных интересов по вопросам обработки своих персональных данных), о месте нахождения министерства, о наличии своих персональных данных, а также на ознакомление с такими персональными данными; подавать запрос на доступ к своим персональным данным; требовать безвозмездного предоставления возможности ознакомления со своими персональными данными, а также внесения в них необходимых изменений, их уничтожения или блокирования при предоставлении сведений, подтверждающих, что такие персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; получать уведомления по вопросам обработки персональных данных в установленных действующим законодательством Российской Федерации случаях и сроки; требовать от министерства разъяснения порядка защиты субъектом персональных данных своих прав и законных интересов; обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке; на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
____________________ /__________________________/
(подпись (расшифровка подписи) лица,
ответственного за обработку персональных данных)
Приложение № 4
к Правилам
обработки персональных данных
в министерстве
Типовое обязательство гражданского служащего,
непосредственно осуществляющего обработку персональных
данных, в случае расторжения с ним служебного контракта
прекратить обработку персональных данных, ставших известными
ему в связи с исполнением должностных обязанностей
Обязательство
о соблюдении конфиденциальности персональных данных
Я, ________________________________ (Ф.И.О. полностью), являясь сотрудником министерства сельского хозяйства и продовольственных ресурсов Нижегородской области и непосредственно осуществляя обработку персональных данных, ознакомлен(а) с требованиями по соблюдению конфиденциальности обрабатываемых мною персональных данных субъектов персональных данных и обязуюсь в случае расторжения со мной служебного контракта прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей.
Я ознакомлен(а) с предусмотренной действующим законодательством Российской Федерации ответственностью за нарушения неприкосновенности частной жизни и установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
____________________________________________
Ф.И.О. полностью, должность, дата
Приложение № 5
к Правилам
обработки персональных данных
в министерстве
Лист
ознакомлений с положениями законодательства
Российской Федерации о персональных данных, правилами
обработки персональных данных в министерстве и иными
правовыми актами министерства по вопросам обработки
персональных данных
№ п/п
Ф.И.О.
Должность
Дата
Подпись
Приложение № 6
к Правилам
обработки персональных данных
в министерстве
Форма акта уничтожения персональных данных
Акт
уничтожения персональных данных
№ ___________ "___" ______________ 20__ г.
Комиссия в составе:
председателя комиссии:
членов комиссии:
уничтожила персональные данные:
№ п/п
Дата уничтожения
Ф.И.О.
Основание на уничтожение
1.
2.
3.
4.
5.
Председатель комиссии
Члены комиссии
Утвержден
приказом министерства
сельского хозяйства и
продовольственных ресурсов
Нижегородской области
от 31.03.2015 № 31
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ СЛУЖАЩИХ МИНИСТЕРСТВА, ЗАМЕЩЕНИЕ КОТОРЫХ
ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ЛИБО ОСУЩЕСТВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
- начальник управления бюджетного учета, финансового контроля и правовой работы;
- начальник отдела кадровой политики и государственной гражданской службы;
- консультант отдела кадровой политики и государственной гражданской службы;
- консультант отдела бюджетного учета, отчетности и финансового контроля управления бюджетного учета, финансового контроля и правовой работы;
- главный специалист отдела бюджетного учета, отчетности и финансового контроля управления бюджетного учета, финансового контроля и правовой работы.
Утвержден
приказом министерства
сельского хозяйства и
продовольственных ресурсов
Нижегородской области
от 31.03.2015 № 31
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ ГРАЖДАНСКИХ СЛУЖАЩИХ, ОТВЕТСТВЕННЫХ ЗА ПРОВЕДЕНИЕ
МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ ОБРАБАТЫВАЕМЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
- начальник управления бюджетного учета, финансового контроля и правовой работы;
- начальник отдела кадровой политики и государственной гражданской службы;
- консультант отдела кадровой политики и государственной гражданской службы;
- консультант отдела бюджетного учета, отчетности и финансового контроля управления бюджетного учета, финансового контроля и правовой работы;
- главный специалист отдела бюджетного учета, отчетности и финансового контроля управления бюджетного учета, финансового контроля и правовой работы.
------------------------------------------------------------------