Расширенный поиск
Указ Губернатора Ярославской области от 11.04.2013 № 188ГУБЕРНАТОР ЯРОСЛАВСКОЙ ОБЛАСТИ УКАЗ от 11.04.2013 N 188 г. Ярославль Об организационных мерах по защите персональных данных в Правительстве области (В редакции Указа Губернатора Ярославской области от 26.11.2013 г. N 630) В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных», в целях обеспечения защиты персональных данных, обрабатываемых в информационных системах Правительства области, ПОСТАНОВЛЯЮ: 1. Утвердить прилагаемые: - политику Правительства области в отношении обработки персональных данных сотрудников аппарата Правительства области; - Положение об обеспечении безопасности персональных данных сотрудников аппарата Правительства области; - Порядок доступа сотрудников аппарата Правительства области в помещения, в которых установлены технические средства, участвующие в обработке персональных данных сотрудников аппарата Правительства области, или хранятся материальные носители персональных данных сотрудников аппарата Правительства области. 2. Руководителям структурных подразделений аппарата Правительства области ознакомить своих сотрудников с настоящим указом под роспись в течение месяца с момента вступления его в силу. 3. Контроль за исполнением указа возложить на заместителя Губернатора области Краснова А.С. 4. Указ вступает в силу с момента подписания. Губернатор области С.Н. Ястребов УТВЕРЖДЕНА указом Губернатора области от 11.04.2013 N 188 ПОЛИТИКА Правительства области в отношении обработки персональных данных сотрудников аппарата Правительства области 1. Общие положения 1.1. Правительство области согласно Федеральному закону от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее – Федеральный закон N 152-ФЗ) является юридическим лицом, осуществляющим обработку персональных данных и определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными. Под персональными данными в соответствии с Федеральным законом N 152-ФЗ понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 1.2. Обработка персональных данных осуществляется Правительством области в соответствии с требованиями Федерального закона N 152-ФЗ и принятыми в соответствии с ним иными нормативными правовыми актами, регулирующими вопросы обработки и защиты персональных данных. При обработке персональных данных Правительство области придерживается принципов, установленных законодательством Российской Федерации в области персональных данных. 1.3. Правительство области осуществляет обработку персональных данных в соответствии с перечнем целей и сроков обработки персональных данных в Правительстве области. 1.4. Для достижения перечисленных целей Правительство области осуществляет обработку персональных данных в соответствии с перечнем субъектов персональных данных в Правительстве области. 1.5. Правительство области осуществляет обработку персональных данных как с использованием средств вычислительной техники (в том числе в информационных системах), так и без использования технических средств. 1.6. В целях предотвращения нарушений законодательства Российской Федерации в сфере персональных данных Правительством области обеспечивается надлежащее документальное сопровождение процессов обработки персональных данных: - анализ правовых оснований обработки персональных данных; - документальное закрепление целей обработки; - установление сроков обработки персональных данных; - регламентация процессов обработки персональных данных (в том числе процессов допуска к персональным данным, прекращения обработки персональных данных); - определение круга лиц, осуществляющих обработку персональных данных и (или) имеющих доступ к персональным данным; - выявление и классификация информационных систем персональных данных; - распределение и закрепление обязанностей и ответственности работников аппарата Правительства области в сфере обработки и обеспечения безопасности персональных данных. 1.7. Предоставление права доступа к персональным данным (допуск к обработке персональных данных), обрабатываемым Правительством области, осуществляется в соответствии с установленным порядком. 1.8. Обеспечение безопасности персональных данных, обрабатываемых Правительством области, достигается скоординированным применением различных по своему характеру мер как организационного, так и технического характера. 1.9. Правительством области реализованы меры физической защиты помещений, где размещены технические средства, обрабатывающие персональные данные, и хранятся материальные носители персональных данных, от несанкционированного проникновения. 1.10. Все сотрудники аппарата Правительства области, допущенные к обработке персональных данных, ознакомлены под роспись с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами Правительства области по вопросам обработки и защиты персональных данных в части, их касающейся. 2. Права субъектов персональных данных и способы их реализации 2.1. В соответствии с положениями Федерального закона N 152-ФЗ субъект персональных данных имеет следующие права в отношении своих персональных данных: - право на получение следующих сведений, касающихся обработки персональных данных Правительством области (за исключением случаев, указанных в части 8 статьи 14 Федерального закона N 152-ФЗ): подтверждение факта обработки персональных данных Правительством области; правовые основания и цели обработки персональных данных; применяемые Правительством области способы обработки персональных данных; наименование и место нахождения Правительства области, сведения о лицах (за исключением работников аппарата Правительства области), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Правительством области или федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом N 152-ФЗ; информация об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Правительства области, если указанная обработка поручена или будет поручена такому лицу; - право на ознакомление с персональными данными, принадлежащими субъекту персональных данных, обрабатываемыми Правительством области; - право требования от Правительства области уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими (неактуальными), неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; - право на отзыв согласия на обработку персональных данных (если такое согласие было дано Правительству области). 2.2. Субъект персональных данных может реализовать свои права на получение сведений, касающихся обработки его персональных данных Правительством области, и на ознакомление с персональными данными, принадлежащими субъекту, обрабатываемыми Правительством области, путем обращения лично или через законного представителя либо путем направления письменного запроса в отдел по работе с обращениями граждан административно-контрольного управления Правительства области. Запрос может быть направлен в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации. Контактные телефоны, адреса электронной почты и расписание приема граждан отделом по работе с обращениями граждан административно-контрольного управления Правительства области размещаются на официальном портале органов государственной власти Ярославской области. 2.3. В соответствии с частью 3 статьи 14 Федерального закона N 152 ФЗ запрос субъекта персональных данных (или его представителя) должен содержать: - номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; - сведения, подтверждающие участие субъекта персональных данных в отношениях с Правительством области (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Правительством области; - подпись субъекта персональных данных или его представителя. 2.4. Правительство области обязано безвозмездно представить запрашиваемые сведения субъекту персональных данных или его представителю в доступной форме в течение 30 дней с даты обращения или даты получения запроса субъекта персональных данных или его представителя либо дать в письменной форме мотивированный ответ, содержащий ссылку на положения федерального закона (законов), являющиеся основанием для отказа в предоставлении информации. 2.5. В случае, если необходимые сведения были представлены субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Правительству области или направить ему повторный запрос в целях получения данных сведений не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. 2.6. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, обрабатываемые Правительством области, являются неполными, неточными или неактуальными, Правительство области обязано внести в них необходимые изменения. 2.7. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, обрабатываемые Правительством области, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Правительство области обязано уничтожить такие персональные данные. 2.8. Правительство области обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах, а также уведомить третьих лиц, которым персональные данные этого субъекта были переданы. 2.9. Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных (в случае, если такое согласие было дано Правительству области). 2.10. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Правительство области обязано прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Правительством области и субъектом персональных данных либо если Правительство области не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами. 2.11. В случае невозможности уничтожения персональных данных в течение указанного срока Правительство области осуществляет блокирование таких персональных данных или уничтожение в срок не более 6 месяцев, если иной срок не установлен федеральными законами. 2.12. Если субъект персональных данных считает, что Правительство области осуществляет обработку его персональных данных с нарушением требований Федерального закона N 152-ФЗ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Правительства области в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке. УТВЕРЖДЕНО указом Губернатора области от 11.04.2013 N 188 ПОЛОЖЕНИЕ об обеспечении безопасности персональных данных сотрудников аппарата Правительства области (В редакции Указа Губернатора Ярославской области от 26.11.2013 г. N 630) 1. Термины и определения Ниже приведен перечень определений, используемых при подготовке настоящего Положения: - автоматизированное рабочее место – комплекс технических и программных средств, предназначенный для обработки персональных данных; - безопасность информации – состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, то есть сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами; - документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель; - доступ к информации – возможность получения информации и ее использования; - доступность информации – состояние информации, характеризуемое способностью автоматизированной системы обеспечить беспрепятственный доступ к информации субъектов, имеющих на это полномочия; - защита информации от несанкционированного доступа или воздействия – деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию); - информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; - информация – сведения (сообщения, данные) независимо от их формы представления; - информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами; - конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. - конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к некой информации, требование не передавать указанную информацию третьим лицам без согласия ее обладателя; - несанкционированный доступ – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированной системой; - обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования указанных средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; - оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; - персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); - распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц; - средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем; - технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных; - уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; - целостность информации – состояние защищенности информации, характеризуемое способностью автоматизированной системы обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки и хранения; - электронный носитель информации – материальный носитель, используемый для записи, хранения и воспроизведения информации, обрабатываемой с помощью средств вычислительной техники. 2. Основные положения 2.1. Настоящее Положение принято в целях определения основных принципов обработки и защиты персональных данных (далее – ПД) сотрудников аппарата Правительства области (далее – сотрудник, сотрудники) от несанкционированного доступа, неправомерного использования или утраты. 2.2. Настоящее Положение разработано на основе и во исполнение Федерального закона от 27 июля 2004 года N 79-ФЗ «О государственной гражданской службе Российской Федерации», Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», положений Трудового кодекса Российской Федерации. 2.3. Настоящее Положение является обязательным для исполнения всеми сотрудниками, имеющими доступ к ПД сотрудников. 3. Понятие и состав ПД сотрудника 3.1. ПД сотрудника – любая информация, относящаяся к прямо или косвенно определенному или определяемому сотруднику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, гражданство, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, указания о возможности занимать лицом те или иные должности, сведения о предыдущих местах работы и другая информация, необходимая работодателю в связи с организацией трудовых отношений между сотрудником и работодателем. 3.2. ПД сотрудника составляют: - сведения о сотруднике, позволяющие идентифицировать его и получить о нем дополнительную информацию; - служебные и иные сведения, связанные с профессиональной деятельностью сотрудника. 4. Документы, содержащие ПД сотрудника 4.1. Информация, предоставляемая сотрудником при замещении должности государственной гражданской службы области, либо при замещении государственных должностей области, либо при заключении трудового договора с Правительством области, должна иметь документальную форму. 4.2. При заключении служебного контракта в соответствии со статьей 26 Федерального закона от 27 июля 2004 года N 79-ФЗ «О государственной гражданской службе Российской Федерации» лицо, поступающее на гражданскую службу, предъявляет представителю нанимателя: - заявление с просьбой о поступлении на гражданскую службу и замещении должности гражданской службы; - собственноручно заполненную и подписанную анкету установленной формы; - паспорт; - трудовую книжку, за исключением случаев, когда служебная (трудовая) деятельность осуществляется впервые; - страховое свидетельство обязательного пенсионного страхования, за исключением случаев, когда служебная (трудовая) деятельность осуществляется впервые; - свидетельство о постановке физического лица на учет в налоговом органе по месту жительства на территории Российской Федерации; - документы воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу); - документ об образовании; - документы, содержащие сведения о доходах, об имуществе и обязательствах имущественного характера. В отдельных случаях с учетом условий прохождения гражданской службы, установленных федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации, при заключении служебного контракта может предусматриваться необходимость предъявления иных документов. 4.3. При заключении трудового договора в соответствии со статьей 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет представителю нанимателя: - паспорт или иной документ, удостоверяющий личность; - трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или сотрудник поступает на работу на условиях совместительства; - страховое свидетельство государственного пенсионного страхования; - документы воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу); - документ об образовании, о квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки); - абзац. (Исключен - Указ Губернатора Ярославской области от 26.11.2013 г. N 630); - справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, связанную с деятельностью, к осуществлению которой не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию). В отдельных случаях с учетом специфики работы Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов. 4.4. После оформления и заключения служебного контракта либо трудового договора ответственным сотрудником управления государственной службы и кадровой политики Правительства области заполняется унифицированная форма Т-2ГС «Личная карточка государственного служащего» либо форма Т-2 «Личная карточка работника», в которых отражаются следующие данные сотрудника: - сведения о табельном номере сотрудника, идентификационном номере налогоплательщика, номере страхового свидетельства государственного пенсионного страхования, характере и виде работы, поле сотрудника; - общие сведения (фамилия, имя, отчество сотрудника, дата рождения, место рождения, гражданство, знание иностранных языков, образование, профессия, стаж работы, состав семьи, паспорт, адрес прописки и фактического проживания, телефон, номер трудового договора); - сведения о воинском учете; - данные о приеме на работу. В дальнейшем в личную карточку вносятся сведения: - о занимаемых сотрудником должностях; - о переводах на другую работу; - об аттестации сотрудника; - о повышении квалификации; - о профессиональной переподготовке; - о наградах (поощрениях), почетных званиях; - о присвоении классных чинов (для государственных служащих); - об отпусках; - о социальных льготах, на которые сотрудник имеет право в соответствии с законодательством. При прохождении гражданской службы либо в процессе трудовой деятельности ПД сотрудника дополняются следующими сведениями: - номер расчетного счета сотрудника; - размер денежного содержания либо заработной платы сотрудника; - серия, номер страхового свидетельства медицинского страхования; - получение дисциплинарных взысканий. При прохождении гражданской службы либо в процессе трудовой деятельности ПД сотрудника могут изменяться. Соответствующие изменения (за исключением номера расчетного счета сотрудника, размера заработной платы) вносятся в личную карточку и заверяются подписью сотрудника. 4.5. Для сотрудников, замещающих должности государственной гражданской службы области либо замещающих государственные должности области, оформляются личные дела, к которым прилагаются документы, содержащие ПД сотрудников. Личные дела ведутся и хранятся в порядке, установленном законодательством Российской Федерации. 4.6. ПД сотрудников содержатся также и в иных документах, сопровождающих поступление на гражданскую службу и ее прохождение либо процесс оформления и осуществления трудовой деятельности сотрудников, в соответствии с утвержденной номенклатурой дел управления государственной службы и кадровой политики Правительства области. 4.7. ПД сотрудников могут содержаться в документах бухгалтерского учета и отчетности (первичных учетных документах, актах, журналах, книгах, ведомостях, платежных поручениях, отчетных формах и так далее). 5. Принципы обработки ПД сотрудника в Правительстве области 5.1. В Правительстве области обработка ПД сотрудника осуществляется в целях обеспечения условий служебного контракта либо трудового договора, соблюдения законов Российской Федерации и иных нормативных правовых актов, личной безопасности сотрудников, контроля количества и качества выполняемой работы и сохранности имущества либо в иных целях с согласия сотрудника. 5.2. В Правительстве области не допускается принятие решений, затрагивающих интересы сотрудника, основанных исключительно на ПД сотрудника, полученных в электронном виде либо в результате их автоматизированной обработки. 6. Создание ПД сотрудника 6.1. Документы, содержащие ПД сотрудника, создаются путем: - копирования оригиналов документов либо получения заверенных копий; - получения (создания) оригиналов документов; - внесения сведений в документы, файлы, учетные формы; - дополнения документов путем формирования (расчета) сведений на основе имеющихся данных, в том числе с использованием средств автоматизации. 6.2. Необходимые ПД сотрудника вносятся ответственными сотрудниками структурных подразделений Правительства области в специализированные электронные системы. 6.3. Дальнейшая обработка ПД сотрудника осуществляется как на бумажных носителях, в неавтоматизированном режиме, так и с использованием средств автоматизации. 7. Доступ к ПД сотрудников 7.1. Доступ к ПД сотрудников, не являющимся общедоступными, могут иметь сотрудники, замещающие должности, включенные в перечень должностей, замещение которых предусматривает осуществление обработки ПД сотрудников или доступа к ним, утверждаемый заместителем Губернатора области, а также уполномоченные представители органов и организаций в случаях, определенных законодательством Российской Федерации. 7.2. Уполномоченные лица имеют право доступа только к тем ПД сотрудников, которые необходимы для выполнения конкретных функций в соответствии с должностными регламентами либо должностными инструкциями указанных лиц. 8. Хранение ПД сотрудников 8.1. Хранение бумажных и электронных носителей информации, содержащих ПД сотрудников, осуществляется в закрытых помещениях, шкафах и сейфах. При приеме посетителей данные носители информации должны быть убраны в стол, шкаф, сейф либо иное место с целью исключения возможности несанкционированного доступа к ним. Места хранения носителей, содержащих ПД сотрудников, утверждаются руководителями структурных подразделений Правительства области, в которых осуществляется обработка ПД сотрудников с использованием бумажных или электронных носителей информации. 8.2. В электронном виде ПД сотрудников могут содержаться в файлах (в том числе файлах баз данных) на: - автоматизированных рабочих местах (далее - АРМ) сотрудников управления государственной службы и кадровой политики Правительства области; - АРМ сотрудников управления финансового планирования и бухгалтерского учета Правительства области; - АРМ информационной системы персональных данных «Ограничение доступа»; - серверах баз данных Правительства области. 8.3. В случае увольнения сотрудника его ПД переводятся из рабочей базы данных в архив. 9. Возможность получения ПД сотрудника у третьих лиц 9.1. ПД сотрудника, обрабатываемые в Правительстве области, предоставляет сам сотрудник. 9.2. Получение ПД сотрудника от третьей стороны допускается только при условии предварительного уведомления сотрудника и наличия его письменного согласия, если иное не предусмотрено федеральным законом. Сотрудник должен быть уведомлен о целях, предполагаемых источниках и способах получения его ПД, а также о характере подлежащих получению ПД сотрудника и последствиях отказа сотрудника дать письменное согласие на их получение. 10. Возможность предоставления ПД сотрудника третьим лицам 10.1. Передача сотрудниками ПД сотрудника, не являющихся общедоступными, третьей стороне возможна только с согласия сотрудника или в случаях, прямо предусмотренных законодательством Российской Федерации. 10.2. Предоставление сотрудниками ПД сотрудников третьим лицам без соответствующего их согласия возможно в следующих случаях: - в целях предупреждения угрозы жизни и здоровья сотрудника; - при поступлении официальных запросов в соответствии с положениями Федерального закона от 12 августа 1995 года N 144-ФЗ «Об оперативно-розыскной деятельности»; - при поступлении официальных запросов из налоговых органов, органов Пенсионного фонда Российской Федерации, органов Фонда социального страхования Российской Федерации, судебных органов. 10.3. При передаче ПД сотрудника представитель нанимателя уведомляет лиц, получающих ПД сотрудника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие ПД сотрудника, обязаны соблюдать режим конфиденциальности и обеспечивать безопасность полученных ПД сотрудника. 11. Защита ПД сотрудника 11.1. Защита ПД сотрудника представляет собой регламентированный технологический процесс, обеспечивающий безопасность информации в процессе деятельности органов исполнительной власти области. 11.2. Защита ПД сотрудника от неправомерного их использования, разглашения или утраты обеспечивается Правительством области за счет его средств в порядке, установленном федеральными законами. В отношении информационных систем ПД сотрудников и отдельных технических средств, на которых обрабатываются ПД сотрудников, проводится полный комплекс технических мероприятий по защите ПД сотрудников от несанкционированного доступа в соответствии с требованиями действующих на территории Российской Федерации руководящих и нормативно-методических документов по защите конфиденциальной информации (ПД). 11.3. Комплекс организационных мер по защите ПД сотрудников включает: - ограничение круга лиц, доступ к ПД сотрудников которым необходим для выполнения служебных обязанностей; - ограничение круга лиц, имеющих доступ в помещения, в которых расположены технические средства, участвующие в обработке ПД сотрудников, и хранятся электронные либо бумажные носители ПД сотрудников; исключение неконтролируемого пребывания в таких помещениях лиц, не имеющих допуска к ПД сотрудников; - сопровождение посетителей и иных посторонних лиц в пределах контролируемой зоны сотрудниками организации либо оборудование мест пребывания посетителей системой видеонаблюдения; - оснащение помещений, занимаемых Правительством области, системой охранной сигнализации либо обеспечение охраны помещений в нерабочее время; - уведомление лиц, допущенных к ПД сотрудников, об обработке ими информации ограниченного доступа и об ответственности за нарушение установленных требований к порядку обработки и защите такой информации (под роспись); - проведение инструктажей по безопасности ПД сотрудников с сотрудниками, имеющими доступ к ПД сотрудников; - контроль за соблюдением установленного в Правительстве области порядка обработки ПД сотрудников и обращением с носителями ПД сотрудников, проведение расследования по фактам несоблюдения установленных в Правительстве области требований по защите ПД сотрудников; - размещение рабочих мест (средств отображения информации, средств графической обработки информации) способом, исключающим несанкционированный просмотр выводимой информации лицами, не имеющими допуска к ПД сотрудников; - обеспечение своевременного вывода ПД сотрудников из обработки (перевода на архивное хранение, уничтожения либо обезличивания). 11.4. Защита ПД сотрудников, содержащихся на электронных носителях. Файлы, содержащие ПД сотрудников (в том числе файлы баз данных), хранятся в специально выделенных каталогах на определенных средствах вычислительной техники. На данные файлы/каталоги устанавливаются права доступа в соответствии с разрешительной системой доступа (матрицей доступа) к защищаемым ресурсам (матрица доступа к защищаемым ресурсам документально зафиксирована и составлена таким образом, чтобы сотрудники имели доступ к тем и только тем ПД сотрудников, которые необходимы им для выполнения своих служебных обязанностей). Хранение файлов, содержащих ПД сотрудников, на внешних (отчуждаемых) носителях разрешается только в случае ведения учета данных носителей. Копирование файлов, содержащих ПД сотрудников, на неучтенные внешние носители информации запрещено и является нарушением трудовой дисциплины. 12. Права и обязанности сотрудника как субъекта ПД 12.1. В целях обеспечения защиты своих ПД сотрудники имеют право на: - получение полной информации об их ПД и обработке указанных ПД, в том числе осуществляемой с использованием средств автоматизации; - осуществление свободного бесплатного доступа к своим ПД, включая право на получение копий любой записи, содержащей ПД сотрудника, за исключением случаев, предусмотренных федеральным законодательством; - требование исключения или исправления неверных или неполных ПД сотрудника, а также данных, обрабатываемых с нарушением федерального законодательства. При отказе представителя нанимателя или уполномоченного им лица исключить или исправить ПД сотрудника сотрудник имеет право заявить в письменной форме представителю нанимателя или уполномоченному им лицу о своем несогласии, обосновав его соответствующим образом; - требование от представителя нанимателя или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПД сотрудника, обо всех произведенных в них изменениях или исключениях из них; - получение подтверждения факта обработки ПД сотрудника представителем нанимателя или уполномоченным им лицом, а также сведений о цели и правовых основаниях такой обработки, способах обработки ПД сотрудника, применяемых представителем нанимателя или уполномоченным им лицом, сроках обработки ПД сотрудника (в том числе сроках их хранения), возможности трансграничной передачи ПД сотрудника; перечня обрабатываемых ПД сотрудника и сведений об источнике их получения; сведений о лице, обрабатывающем по поручению представителя нанимателя ПД сотрудника; - получение сведений о сторонних лицах (организациях), которые могут иметь доступ к ПД сотрудника или которым могут быть раскрыты ПД сотрудника на основании договора, заключенного с представителем нанимателя, или федерального закона; - обжалование в суде любых неправомерных действий или бездействия представителя нанимателя или уполномоченного им лица при обработке и защите ПД сотрудника. 12.2. Сотрудник обязан: - передавать представителю нанимателя комплекс достоверных, документированных ПД сотрудника, состав которых установлен законодательством Российской Федерации; - своевременно сообщать представителю нанимателя об изменении своих ПД. 13. Обязанности представителя нанимателя 13.1. Если обязанность предоставления ПД сотрудником установлена федеральным законом, представитель нанимателя обязан разъяснить сотруднику юридические последствия отказа предоставить свои ПД. 13.2. Если ПД сотрудника были получены не от сотрудника, за исключением случаев, если ПД сотрудника были предоставлены оператору в связи с исполнением договора, на основании федерального закона или если ПД сотрудника сделаны общедоступными субъектом ПД (либо получены из общедоступного источника), представитель нанимателя до начала обработки таких ПД сотрудника обязан представить сотруднику следующую информацию (если субъект ПД не уведомлен об обработке его ПД соответствующим оператором): - наименование (фамилия, имя, отчество) и адрес оператора или его представителя; - цель обработки ПД сотрудника и ее правовое основание; - предполагаемые пользователи ПД сотрудника; - права сотрудника в области защиты своих ПД; - источник получения ПД сотрудника. 13.3. Представитель нанимателя обязан безвозмездно предоставить сотруднику возможность ознакомления с ПД, относящимися к сотруднику, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие ПД сотрудника по представлении сотрудником сведений, подтверждающих, что его ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах работодатель обязан уведомить сотрудника и принять меры по уведомлению третьих лиц, которым ПД этого сотрудника были переданы. 13.4. В случае выявления неточных ПД сотрудника или неправомерной обработки ПД сотрудника представитель нанимателя обязан осуществить блокирование ПД, относящихся к соответствующему сотруднику, с момента получения такой информации на период проверки. 13.5. В случае подтверждения факта неточности ПД сотрудника или неправомерной обработки ПД сотрудника представитель нанимателя на основании соответствующих документов обязан в течение 7 рабочих дней обеспечить уточнение ПД сотрудника, снять их блокирование и принять меры по уведомлению об изменении ПД сотрудника тех лиц, которым ПД сотрудника были переданы. 13.6. В случае выявления неправомерных действий с ПД сотрудника представитель нанимателя в срок, не превышающий 3 рабочих дней с даты такого выявления, обязан прекратить неправомерную обработку ПД сотрудника. В случае, если обеспечить правомерность обработки ПД сотрудника невозможно, представитель нанимателя в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПД сотрудника, обязан уничтожить ПД сотрудника. Об устранении допущенных нарушений или об уничтожении ПД сотрудника представитель нанимателя обязан уведомить сотрудника. 13.7. В случае достижения цели обработки ПД сотрудника представитель нанимателя обязан прекратить обработку ПД сотрудника и уничтожить соответствующие ПД сотрудника в срок, не превышающий 30 дней с даты достижения цели обработки ПД сотрудника, если иное не предусмотрено федеральными законами (в частности, законодательством об архивном деле), договором, контрактом или соглашением, стороной которого является сотрудник. 14. Ответственность за нарушение установленных требований по защите ПД сотрудников и защите прав сотрудников в области ПД сотрудников 14.1. Руководитель, разрешающий доступ сотрудника к документам, файлам, базам данных или их частям, содержащим ПД сотрудников, несет персональную ответственность за данное разрешение. 14.2. Сотрудник, получающий доступ к документам, файлам, базам данных или их частям, содержащим ПД сотрудников, несет персональную ответственность за любые действия, совершаемые им с информацией или ее носителями. 14.3. Лица, виновные в нарушении установленных норм, регулирующих порядок обработки и мероприятия по защите ПД сотрудника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации. 14.5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять дисциплинарные взыскания, предусмотренные действующим законодательством Российской Федерации. 14.6. Нарушение неприкосновенности частной жизни (в том числе незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в представлении информации, нарушение порядка сбора, хранения, использования или распространения ПД сотрудников, совершенные лицом с использованием своего служебного положения, наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с действующим законодательством Российской Федерации. УТВЕРЖДЕН указом Губернатора области от 11.04.2013 N 188 ПОРЯДОК доступа сотрудников аппарата Правительства области в помещения, в которых установлены технические средства, участвующие в обработке персональных данных сотрудников аппарата Правительства области, или хранятся материальные носители персональных данных сотрудников аппарата Правительства области 1. Основные положения 1.1. Настоящий Порядок разработан в целях обеспечения безопасности персональных данных сотрудников аппарата Правительства области (далее – сотрудник, сотрудники) при их обработке (в том числе хранении) путем создания условий, затрудняющих несанкционированный доступ к техническим средствам, участвующим в обработке персональных данных сотрудников, и материальным носителям персональных данных сотрудников. 1.2. В терминах настоящего Порядка под правом доступа в помещение понимается возможность посещения помещения без нарушения принятых норм и регламентов, не зависящая от воли других лиц. 1.3. Ознакомлению с настоящим Порядком подлежат все сотрудники, имеющие право доступа в помещения, в которых установлены технические средства, участвующие в обработке персональных данных сотрудников, или хранятся материальные носители персональных данных сотрудников (далее – помещения, в которых осуществляется обработка персональных данных сотрудников), а также руководители структурных подразделений (отделов), сотрудники которых осуществляют обработку персональных данных сотрудников. 2. Организация доступа в помещения, в которых осуществляется обработка персональных данных сотрудников 2.1. Самостоятельный доступ в помещения, в которых осуществляется обработка персональных данных сотрудников, разрешается лицам, включенным в перечень лиц, имеющих право доступа в данные помещения (далее – перечень). 2.2. Перечень актуализируется лицами, ответственными за организацию обработки персональных данных сотрудников в структурных подразделениях Правительства области. Перечень утверждается заместителем Губернатора области. 2.3. Лица, не включенные в перечень (в том числе другие сотрудники, сторонние лица), имеют право находиться в помещении, в котором осуществляется обработка персональных данных сотрудников, только в присутствии лица, имеющего право доступа в данное помещение в соответствии с перечнем. 2.4. При необходимости включения сотрудника в перечень (либо изменении его прав на доступ в помещения, в которых осуществляется обработка персональных данных сотрудников) непосредственный руководитель сотрудника обращается к лицу, ответственному за организацию обработки персональных данных сотрудников в соответствующем структурном подразделении Правительства области. При включении сотрудника в перечень лицо, ответственное за организацию обработки персональных данных сотрудников, обеспечивает ознакомление сотрудника с настоящим Порядком. 2.5. При необходимости исключения сотрудника из перечня (в связи с его увольнением, переводом на другую должность, предоставлением ему рабочего места в другом помещении) непосредственный руководитель сотрудника уведомляет лицо, ответственное за организацию обработки персональных данных сотрудников в соответствующем структурном подразделении Правительства области, и обеспечивает изъятие ключей от помещения (помещений), в котором (которых) осуществляется обработка персональных данных сотрудников, у сотрудника в случае, если ключи ему были выданы. 3. Требования, обеспечивающие соблюдение режима доступа в помещения, в которых осуществляется обработка персональных данных сотрудников 3.1. Доступ в помещения, в которых осуществляется обработка персональных данных сотрудников, разрешается только в рабочее время. 3.2. Доступ в помещения, в которых осуществляется обработка персональных данных сотрудников, в нерабочее время возможен только по письменной заявке сотрудника, согласованной с его непосредственным руководителем и имеющей разрешающую резолюцию уполномоченного сотрудника. Данные заявки хранятся у лица, ответственного за организацию обработки персональных данных сотрудников в структурном подразделении Правительства области, их копии передаются лицам, осуществляющим охрану здания Правительства области. 3.3. Последний сотрудник, покидающий помещение, в котором осуществляется обработка персональных данных сотрудников, обязан закрыть его на ключ, при этом запрещается оставлять ключ в замке указанного помещения. 3.4. Лица, имеющие право доступа в помещение, в котором осуществляется обработка персональных данных сотрудников, несут ответственность за недопущение пребывания в указанном помещении сотрудников, не имеющих права доступа в данное помещение, и сторонних лиц в отсутствие лиц, имеющих право доступа в данное помещение. 3.5. В случае нарушения настоящего Порядка сотрудники могут быть привлечены к дисциплинарной ответственности. 4. Контроль за соблюдением настоящего Порядка 4.1. Текущий контроль за соблюдением настоящего Порядка осуществляется руководителями структурных подразделений, сотрудники которых обрабатывают персональные данные сотрудников (как с использованием средств автоматизации, так и без их использования). Лица, осуществляющие текущий контроль за соблюдением настоящего Порядка, самостоятельно обеспечивают его соблюдение, а в случае серьезного или неоднократного нарушения неким лицом настоящего Порядка незамедлительно уведомляют лицо, ответственное за организацию обработки персональных данных сотрудников в соответствующем структурном подразделении Правительства области. 4.2. Лицо, ответственное за организацию обработки персональных данных сотрудников, в случае установления факта нарушения сотрудником настоящего Порядка проводит с указанным сотрудником разъяснительную работу, а в случае неоднократного нарушения уведомляет администратора информационной безопасности Правительства области. Информация по документуЧитайте также
Изменен протокол лечения ковида23 февраля 2022 г. МедицинаГермания может полностью остановить «Северный поток – 2»23 февраля 2022 г. ЭкономикаБогатые уже не такие богатые23 февраля 2022 г. ОбществоОтныне иностранцы смогут найти на портале госуслуг полезную для себя информацию23 февраля 2022 г. ОбществоВакцина «Спутник М» прошла регистрацию в Казахстане22 февраля 2022 г. МедицинаМТС попала в переплет в связи с повышением тарифов22 февраля 2022 г. ГосударствоРегулятор откорректировал прогноз по инфляции22 февраля 2022 г. ЭкономикаСтоимость нефти Brent взяла курс на повышение22 февраля 2022 г. ЭкономикаКурсы иностранных валют снова выросли21 февраля 2022 г. Финансовые рынки |
Архив статей
2024 Ноябрь
|