постановление Губернатора Курской области от 30.12.2015 № 623-пг

ГУБЕРНАТОР КУРСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

от 30 декабря 2015 г. N 623-пг

Об утверждении Правил обработки и защиты персональных

данных в управлении по работе с обращениями граждан

управления делами Администрации Курской области

В соответствии с Федеральным законом "О персональных данных" и Постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, постановляю:

1. Утвердить прилагаемые Правила обработки и защиты персональных данных в управлении по работе с обращениями граждан управления делами Администрации Курской области.

2. Контроль за исполнением настоящего постановления возложить на Управляющего делами Администрации Курской области А.Т. Стрелкова.

Губернатор

Курской области

А.Н.МИХАЙЛОВ

Утверждены

постановлением

Губернатора Курской области

от 30 декабря 2015 г. N 623-пг

ПРАВИЛА

ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ

ПО РАБОТЕ С ОБРАЩЕНИЯМИ ГРАЖДАН УПРАВЛЕНИЯ ДЕЛАМИ

АДМИНИСТРАЦИИ КУРСКОЙ ОБЛАСТИ

1. Общие положения

1.1. Настоящие Правила разработаны в соответствии со статьей 18.1 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Закон о ПДн) и Постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и являются документом управления по работе с обращениями граждан управления делами Администрации Курской области (далее - управление по работе с обращениями граждан), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее - ПДн), оператором которых является Администрация Курской области.

1.2. Настоящие Правила разработаны в целях реализации требований законодательства в области обработки и защиты ПДн и направлены на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в управлении по работе с обращениями граждан, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

1.3. Положения настоящих Правил распространяются на отношения по обработке и защите ПДн, полученных в управлении по работе с обращениями граждан как до, так и после утверждения настоящих Правил, за исключением случаев, когда по причинам правового, организационного и иного характера положения настоящих Правил не могут быть распространены на отношения по обработке и защите ПДн, полученных до их утверждения.

2. Основания обработки и состав персональных данных,

обрабатываемых в управлении по работе с обращениями граждан

2.1. Обработка ПДн в управлении по работе с обращениями граждан осуществляется в связи с выполнением возложенных на управление по работе с обращениями граждан функций, определяемых:

Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

Положением об управлении по работе с обращениями граждан управления делами Администрации Курской области, утвержденным распоряжением Администрации Курской области от 27.05.2005 N 102-р;

Порядком организации работы с обращениями граждан в Администрации Курской области, утвержденным постановлением Администрации Курской области от 03.10.2014 N 630-па;

иными нормативными правовыми актами Российской Федерации и Курской области.

Кроме того, обработка ПДн в управлении по работе с обращениями граждан осуществляется в рамках выполняемых функций при взаимодействии с органами исполнительной власти и органами местного самоуправления.

2.2. В рамках осуществления функций управления по работе с обращениями граждан обработка ПДн осуществляется в ходе регистрации обращений граждан, направления обращений граждан на рассмотрение, рассмотрения обращений граждан.

2.3. При осуществлении функций, указанных в пункте 2.2 настоящих Правил, обрабатываются следующие категории ПДн граждан, направивших обращения:

анкетные и биографические данные;

сведения об образовании;

сведения о трудовом стаже;

сведения о составе семьи;

паспортные данные;

сведения о воинском учете;

сведения о заработной плате;

сведения о социальных льготах;

сведения о специальности и занимаемой должности;

сведения о наличии судимостей;

адрес места жительства;

домашний телефон;

место работы или учебы членов семьи и родственников;

содержание трудового договора;

состав декларируемых сведений о наличии материальных ценностей;

содержание декларации, подаваемой в налоговую инспекцию;

сведения из личных дел и трудовых книжек;

иные персональные данные, указанные гражданами в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.

2.4. Управление по работе с обращениями граждан предоставляет обрабатываемые им ПДн органам и организациям, имеющим в соответствии с законодательством Российской Федерации право на получение соответствующих ПДн.

2.5. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Управление по работе с обращениями граждан принимает необходимые меры по удалению или уточнению неполных или неточных ПДн. В управлении по работе с обращениями граждан не производится обработка ПДн, несовместимая с целями их сбора.

2.6. Обработка ПДн в управлении по работе с обращениями граждан осуществляется в отношении граждан, обратившихся в Администрацию Курской области в письменной форме или в форме электронного документа, а также с устным обращением с целью рассмотрения указанных обращений и последующего уведомления о результатах их рассмотрения.

3. Принципы обеспечения безопасности персональных данных

3.1. Основной задачей обеспечения безопасности ПДн при их обработке в управлении по работе с обращениями граждан является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

3.2. Для обеспечения безопасности ПДн управление по работе с обращениями граждан руководствуется следующими принципами:

1) законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;

2) системность: обработка ПДн в управлении по работе с обращениями граждан осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;

3) комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах управления по работе с обращениями граждан и других имеющихся в управлении по работе с обращениями граждан систем и средств защиты;

4) непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;

5) своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;

6) персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;

7) минимизация прав доступа: доступ к ПДн работникам предоставляется только в объеме, необходимом для выполнения их должностных обязанностей.

4. Доступ к обрабатываемым персональным данным

4.1. Доступ к обрабатываемым ПДн в управлении по работе с обращениями граждан имеют лица, осуществляющие в соответствии с должностными обязанностями регистрацию обращений граждан, направление обращений граждан на рассмотрение, рассмотрение обращений граждан, а также лица, которым поручено рассмотрение обращений граждан, и лица, чьи ПДн подлежат обработке.

4.2. Допущенные к обработке ПДн работники под роспись знакомятся с документами управления по работе с обращениями граждан, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных работников.

4.3. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым управлением по работе с обращениями граждан, осуществляется в соответствии с законодательством Российской Федерации.

5. Требования к защите персональных данных

5.1. Управление по работе с обращениями граждан принимает организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о ПДн и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

5.2. Состав указанных в пункте 5.1 настоящих Правил мер, включая их содержание и выбор средств защиты ПДн, а также соответствующие документы об обработке и защите ПДн, определяются управлением по работе с обращениями граждан, исходя из требований:

Закона о ПДн;

Постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

Постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

иных нормативных правовых актов Российской Федерации по вопросам обработки и защиты ПДн.

5.3. Управление по работе с обращениями граждан осуществляет ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, настоящими Правилами и документами по вопросам обработки ПДн, и (или) организует обучение указанных работников по вопросам обработки и защиты ПДн.

5.4. При обработке ПДн с использованием средств автоматизации управлением по работе с обращениями граждан, в частности, применяются следующие меры:

1) вносится предложение о назначении ответственного за организацию обработки ПДн, определяется его компетенция;

2) принимаются соответствующие документы по вопросам обработки и защиты ПДн, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;

3) осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону о ПДн и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящим Правилам и иным документам по вопросам обработки и защиты ПДн;

4) проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, определяется соотношение указанного вреда и принимаемых управлением по работе с обращениями граждан мер, направленных на обеспечение исполнения обязанностей, предусмотренных Законом о ПДн.

5.5. Обеспечение безопасности ПДн в управлении по работе с обращениями граждан при их обработке в информационной системе ПДн достигается, в частности, путем:

1) определения угроз безопасности ПДн (тип актуальных угроз безопасности ПДн и необходимый уровень защищенности ПДн определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда);

2) определения в установленном порядке состава и содержания мер по обеспечению безопасности ПДн, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности управлением по работе с обращениями граждан разрабатываются компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности ПДн. В этом случае в ходе разработки системы защиты ПДн проводится обоснование применения компенсирующих мер для обеспечения безопасности ПДн;

3) применения организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований к защите ПДн, обеспечивающих определенные уровни защищенности ПДн, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз.

В управлении по работе с обращениями граждан, в том числе, осуществляются:

оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн;

учет машинных носителей ПДн, обеспечение их сохранности;

обнаружение фактов несанкционированного доступа к ПДн и принятие соответствующих мер;

восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к обрабатываемым ПДн, а также обеспечение регистрации и учета действий, совершаемых с ПДн;

организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

контроль за принимаемыми мерами по обеспечению безопасности ПДн, уровня защищенности информационной системы ПДн.

5.6. Обеспечение безопасности ПДн в управлении по работе с обращениями граждан при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:

1) обособления ПДн от иной информации;

2) недопущения фиксации на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы;

3) использования отдельных материальных носителей для обработки каждой категории ПДн;

4) принятия мер по обеспечению раздельной обработки ПДн при несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн;

5) соблюдения требований:

к раздельной обработке зафиксированных на одном материальном носителе ПДн и информации, не относящейся к ПДн;

уточнению ПДн;

уничтожению или обезличиванию части ПДн;

использованию типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн;

хранения ПДн, в том числе к обеспечению раздельного хранения ПДн (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

6. Порядок хранения и уничтожения персональных данных

6.1. Хранение ПДн допускается только в форме документов, зафиксированной на материальном носителе информации (содержащей ПДн), с реквизитами, позволяющими ее идентифицировать и определить субъекта ПДн. При этом предусматриваются следующие виды документов:

изобразительный документ - документ, содержащий информацию, выраженную посредством изображения какого-либо объекта;

фотодокумент - изобразительный документ, созданный фотографическим способом;

текстовой документ - документ, содержащий речевую информацию, зафиксированную любым типом письма или любой системой звукозаписи;

письменный документ - текстовой документ, информация которого зафиксирована любым типом письма;

рукописный документ - письменный документ, при создании которого знаки письма наносят от руки;

машинописный документ - письменный документ, при создании которого знаки письма наносят техническими средствами;

документ на машинном носителе - документ, созданный с использованием носителей и способов записи, обеспечивающих обработку его информации электронно-вычислительной машиной.

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если иной срок хранения ПДн не установлен законодательством Российской Федерации, договором, стороной которого является субъект ПДн.

Хранение ПДн в информационных системах ПДн и вне таких систем осуществляется на материальных носителях информации и с применением технологии ее хранения, которая обеспечивает защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн.

6.2. Срок хранения ПДн на материальном носителе составляет пять лет в соответствии с требованиями законодательства об архивном деле в Российской Федерации.

6.3. В случае достижения цели обработки ПДн управление по работе с обращениями граждан обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению управления по работе с обращениями граждан) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению управления по работе с обращениями граждан) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого является субъект ПДн.

6.4. Уничтожение ПДн осуществляется по истечении срока хранения ПДн комиссией управления делами Администрации Курской области с составлением акта.