Политика в отношении обработки персональных данных в департаменте финансов Приморского края

    

 УТВЕРЖДЕНО

 приказом

министерства финансов Приморского края

от 17 июля 2020 г.  № 90

ПОЛОЖЕНИЕ

 

о порядке обработки и обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных в министерстве финансов Приморского края

 

1.              Общие положения

 

1.1.        Настоящим Положением определяется порядок обработки и обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации и без использования средств автоматизации.

1.2.        В настоящем Положении используются следующие понятия:

1.2.1.      Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

1.2.2.      Информационная система персональных данных (далее - Информационная система) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

1.2.3.      Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных.

1.2.4.      Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных, или наличия иного законного согласования.

1.2.5.      Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

1.2.6.      Обработка персональных данных действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, уточнение, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

1.2.7.      Обработка персональных данных без использования средств автоматизации действия с персональными данными, такие как сбор, систематизация, накопление, хранение. использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

1.2.8.      Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

1.2.9.      Оператор - юридическое или физическое лицо, организующие и осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

1.2.10.  Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование. профессия, доходы, другая информация.

1.2.11.  Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

1.2.12.  Специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.

 

2.            Порядок обработки персональных данных

 

2.1. Обработка персональных данных в Информационных системах должна осуществляться на основе следующих принципов:

- законности целей и способов обработки персональных данных и добросовестности;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2.2. Обработка персональных данных в Информационных системах может осуществляться оператором с письменного согласия субъектов персональных данных, за исключением следующих случаев, когда такого согласия не требуется, если:

-                  обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

-                  обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

-                  обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

-                  обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

-                  осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, персональных данных кандидатов на выборные государственные или муниципальные должности.

2.3. Обработка оператором специальных категорий персональных данных в Информационных системах допускается если:

-           субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

-                  персональные данные являются общедоступными;

-                  персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

2.4. Оператор, получающий доступ к персональным данным, должен обеспечивать конфиденциальность таких данных, за исключением случаев:

-                  в случае обезличивания персональных данных;

-                  в отношении общедоступных персональных данных.

2.5. Обработка персональных данных в Информационных системах министерства финансов Приморского края осуществляется только с согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами, которыми предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2.6. Письменное согласие субъекта персональных данных на обработку своих персональных данных в Информационных системах министерства финансов должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва.

2.7.     Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных в Информационных системах обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

2.8.     В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных в Информационных системах дает в письменной форме законный представитель субъекта персональных данных.

2.9.     В случае смерти субъекта персональных данных согласие на обработку его персональных данных в Информационных системах дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

2.10.                        Субъект персональных данных имеет право на получение сведений об обработке своих персональных данных в Информационных системах, а оператор обязан их предоставить в соответствии со статьями 14 и 20 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

 

3.            Основные меры по обеспечению безопасности персональных данных

 

 3.1. Мероприятия по обеспечению безопасности персональных данных при их обработке в Информационных системах включают в себя:

-                  определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

-                  разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

-                  проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;  установку и ввод эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

-                  обучение лиц, использующих средства защиты информации, применяемые в Информационных системах, правилам работы с ними;

-                 


-                  учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

-                  учет лиц, допущенных к работе с персональными данными в Информационной системе;

-                  контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

-                  расследование и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

 

4.            Особенности обработки персональных данных, осуществляемых без использования средств автоматизации

 

4.1. Персональные данные при их обработке, осуществляемой неавтоматизированным способом, должны обособляться от иной информации, фиксацией их на отдельных материальных носителях персональных данных (далее - Материальные носители), в специальных разделах книг (журналов) или на полях форм (бланков).

4.2. При фиксации персональных данных на Материальных носителях не допускается фиксация на одном Материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

4.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

4.3.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:

-                  сведения о цели обработки персональных данных, осуществляемой неавтоматизированным способом;

-                  имя (наименование) и адрес оператора; - фамилию, имя, отчество и адрес субъекта персональных данных;

-                  источник получения персональных данных;

-                  сроки обработки персональных данных;

-                  перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

-                  общее описание используемых оператором способов обработки персональных данных.

4.3.2.      Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую неавтоматизированным способом.

4.3.3.      Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.

4.3.4.      Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

4.4. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

4.4.1. Необходимость ведения такого журнала (реестра, книги) должна быть определена распоряжением (приказом) оператора, содержащим:

-                  сведения о цели обработки персональных данных, осуществляемой неавтоматизированным способом;

-                  способы фиксации и состав информации, запрашиваемой у субъектов персональных данных;

-                  перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги);

-                  сроки обработки персональных данных;  сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных.

4.4.2. Копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается.

4.4.3. Персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

4.5. При несовместимости целей обработки персональных данных, зафиксированных на одном Материальном носителе, если Материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных:

4.5.1. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же Материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию используется (распространяется) копия персональных данных.

4.5.2. При необходимости уничтожения или блокирования части персональных данных, уничтожается или блокируется Материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

4.6.        Уничтожение или обезличивание части персональных данных, если это допускается Материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на Материальном носителе (удаление).

4.7.        Правила, предусмотренные пунктами 4.5 и 4.6 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном Материальном носителе персональных данных и информации, не являющейся персональными данными.

4.8.        Уточнение персональных данных при осуществлении их обработки неавтоматизированным способом производится путем обновления или изменения данных на Материальном носителе, а если это не допускается техническими особенностями Материального носителя, путем фиксации на том же Материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового Материального носителя с уточненными персональными данными.

4.9.        Обработка персональных данных, осуществляемая неавтоматизированным способом, должна производиться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (Материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

4.10.   Необходимо обеспечивать раздельное хранение персональных данных (Материальных носителей), обработка которых осуществляется в различных целях.

 

 

 

5.            Обязанности лиц, имеющих доступ к персональным данным

 

5.1.      Ответственность за обеспечение безопасности персональных данных и надлежащий режим работы Информационных систем возлагается на руководителей структурных подразделений, в которых эксплуатируются эти информационные системы.

5.2.      Создание системы защиты персональных данных, обрабатываемых в Информационных системах подразделений, должно проводиться во взаимодействии с министерством цифрового развития и связи Приморского края.

5.3.      Операторы (руководители структурных подразделений) определяют лиц, уполномоченных на обработку персональных данных в Информационных системах и ответственного за обеспечение безопасности информации в подразделении из числа штатных сотрудников. Списки лиц, уполномоченных на обработку персональных данных в Информационных системах и назначение ответственного за обеспечение безопасности информации в подразделении, утверждаются соответствующим распоряжением (приказом) руководителя.

5.4.      В своей работе сотрудники, допущенные к обработке персональных данных в Информационных системах, должны руководствоваться требованиями федеральных законов, нормативно-правовых документов Правительства Российской Федерации, Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, а также настоящим Положением.

5.5.      В должностные инструкции сотрудников, уполномоченных на обработку персональных данных в Информационных системах, должны быть внесены обязанности о необходимости выполнения требований по обеспечению безопасности обрабатываемых ими персональных данных.

5.6.      Руководители подразделений должны осуществлять контроль за соблюдением установленного регламентирующими документами режима при обработке персональных данных в Информационных системах подразделения, и пресекать действия своих сотрудников и других лиц, которые могут привести к утечке или уничтожению персональных данных, сообщать о фактах таких действий в департамент по защите государственной тайны, информационной безопасности и мобилизационной подготовки Приморского края.

5.7.      При обнаружении нарушений порядка предоставления персональных данных, обрабатываемых в информационных системах, оператор незамедлительно приостанавливает предоставление персональных данных пользователям Информационных систем до выявления причин нарушений и устранения этих причин.

           5.8.       За нарушение норм настоящего Положения, а также федеральных законов, регламентирующих порядок обработки и обеспечения безопасности персональных данных, сотрудники, допущенные к работе с персональными данными в Информационных системах, несут гражданско-правовую, административную, уголовную и дисциплинарную ответственность в соответствии с действующим законодательством.

Приложение № 1

 

к Положению о порядке обработки и обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных в министерстве финансов Приморского края, утверждённому приказом министерства финансов Приморского края

 

от « 17 » июля    2020 года №   90 

 

 

Согласие
на обработку персональных данных
(информация о субъекте персональных данных)

 

Я,_______________________________________________________________________,

(фамилия)                 (имя)                (отчество)

______________________________________________________________________________

(основной документ, номер основного документа, удостоверяющий личность) 

_____________________________________________________________________________,

(сведения о дате выдачи, сведения о выдавшем указанный документ органе)

зарегистрирован(а) по адресу: ______________________________________________________________________________

                                                                   (адрес субъекта персональных данных)

 

даю добровольное согласие уполномоченным должностным лицам министерства финансов Приморского края на обработку (любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) следующих персональных данных:

 

Фамилия, имя отчество

 

Число, месяц, год рождения

 

Место рождения

 

Пол

 

Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи

 

Адрес места жительства (адрес регистрации, адрес фактического проживания)

 

Реквизиты свидетельства государственной регистрации актов гражданского состояния

 

Семейное положение, состав семьи

Сведения о детях

 

Банковские реквизиты для перечисления заработной платы

 

Идентификационный номер налогоплательщика

 

Номер страхового свидетельства государственного пенсионного страхования

 

Номер телефона, в том числе мобильный

 

Сведения о доходах с предыдущего места работы

 

Иные персональные данные (по необходимости)

 

Вышеуказанные персональные данные предоставляю для обработки в целях обеспечения соблюдения в отношении меня законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений для реализации полномочий, возложенных на министерство финансов Приморского края.

Я ознакомлен с тем, что:

1) согласие на обработку персональных данных действует с даты подписания настоящего согласия в течение всего срока работы в министерстве финансов Приморского края;

2) согласие на обработку персональных данных может быть отозвано на основании письменного заявления в произвольной форме;

3) в случае отзыва согласия на обработку персональных данных министерство финансов Приморского края вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в п. п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

4) после прекращения трудовых отношений персональные данные хранятся в министерстве финансов Приморского края в течение срока хранения документов, предусмотренных законодательством Российской Федерации;

5) персональные данные, предоставляемые в отношении третьих лиц, будут обрабатываться только в целях осуществления и выполнения возложенных законодательством Российской Федерации на министерство финансов Приморского края.

 

Я подтверждаю, что предоставленные мною персональные данные являются полными, актуальными и достоверными.

Я обязуюсь своевременно извещать об  изменении  персональных данных.

 

"___" _________ 20___ г.   ________________   __________________________

                                                                                       (личная подпись)                                                             (инициалы, фамилия)

 

Предоставленные  данные  соответствуют предъявленным документам, удостоверяющим личность.

 

______________________________________________________________________________

(должность уполномоченного сотрудника)                                      (личная подпись)                                                       (инициалы, фамилия)

 

"___" _________ 20___ г.

 

 

 

 

 

 

Приложение № 2


к Положению о порядке обработки и обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных в министерстве финансов Приморского края, утверждённому приказом министерства финансов Приморского края

 

от « 17 » июля    2020 года №   90 

 

 

 

Обязательство о неразглашении информации,

 содержащей персональные данные

 

Я, __________________________________________________________,

(фамилия, имя, отчество)

обязуюсь не разглашать полученные при исполнении мной должностных обязанностей сведения, касающиеся субъектов персональных данных.

Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных.

В связи с этим, даю обязательство, при работе с персональными данными соблюдать требования, описанные в Положении о порядке обработки и обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных в министерстве финансов Приморского края.

В случае попытки посторонних лиц получить от меня сведения, составляющие персональные данные субъектов, обязуюсь немедленно сообщить министру финансов Приморского края.

Я предупрежден(а) о том, что в случае разглашения или утраты мною сведений, касающихся субъектов персональных данных, я несу ответственность и могу быть привлечен(а) к материальной, гражданско-правовой, административной и уголовной ответственности в соответствии с действующим законодательством Российской Федерации в случае нарушения данного обязательства.

С Положением о порядке обработки и обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных в министерстве финансов Приморского края ознакомлен(а).

Обязуюсь прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей, в случае  расторжения  со мной служебного контракта.

В соответствии со статьей 7 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

Ответственность, предусмотренная законодательством Российской Федерации, мне разъяснена.

 

 

___________________                                                 _______________________  


















        





   


















Раздел в стадии наполнения