Приказ Управления промышленности и энергетики Пензенской обл. от 08.11.2013 N 75 "Об утверждении Положения об обработке и защите персональных данных в Управлении промышленности и энергетики Пензенской области"



УПРАВЛЕНИЕ ПРОМЫШЛЕННОСТИ И ЭНЕРГЕТИКИ
ПЕНЗЕНСКОЙ ОБЛАСТИ

ПРИКАЗ
от 8 ноября 2013 г. № 75

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ И ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ ПРОМЫШЛЕННОСТИ
И ЭНЕРГЕТИКИ ПЕНЗЕНСКОЙ ОБЛАСТИ


В целях реализации Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями), руководствуясь Положением об Управлении промышленности и энергетики Пензенской области, утвержденным постановлением Правительства Пензенской области от 31.01.2013 № 34-пП, приказываю:
1. Утвердить Положение об обработке и защите персональных данных в Управлении промышленности и энергетики Пензенской области согласно приложению.
2. Признать утратившими силу следующие приказы Управления промышленности, транспорта и энергетики Пензенской области:
2.1. от 18.03.2011 № 29 "Об утверждении Положения об обработке и защите персональных данных в Управлении промышленности, транспорта и энергетики Пензенской области";
2.2. от 12.05.2011 № 68 "О внесении изменений в Положение об обработке и защите персональных данных в Управлении промышленности, транспорта и энергетики Пензенской области, утвержденное приказом Управления промышленности, транспорта и энергетики Пензенской области от 18.03.2011 № 29";
2.3. от 24.06.2011 № 86 "О внесении изменений в некоторые приказы Управления промышленности, транспорта и энергетики Пензенской области".
3. Опубликовать настоящий приказ в газете "Пензенские губернские ведомости".
4. Контроль за исполнением настоящего приказа оставляю за собой.

Начальник Управления
К.Н.МАКАРОВ





Приложение

Утверждено
приказом
Управления
промышленности и энергетики
Пензенской области
от 8 ноября 2013 г. № 75

ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В УПРАВЛЕНИИ ПРОМЫШЛЕННОСТИ И ЭНЕРГЕТИКИ
ПЕНЗЕНСКОЙ ОБЛАСТИ

1. Термины и определения

В настоящем Положении об обработке и защите персональных данных в Управлении промышленности и энергетики Пензенской области используются основные понятия и термины, определенные Федеральными законами от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями) и № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями).

2. Общие положения

2.1. Целью Положения об обработке и защите персональных данных в Управлении промышленности и энергетики Пензенской области (далее - Положение) является обеспечение защиты персональных данных в Управлении промышленности и энергетики Пензенской области (далее - Управление) от несанкционированного доступа, неправомерного их использования или утраты.
2.2. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных государственными гражданскими служащими в Управлении.
2.3. Настоящее Положение разработано в соответствии с:
- Конституцией Российской Федерации;
- Трудовым Кодексом Российской Федерации;
- Кодексом об административных правонарушениях Российской Федерации;
- Гражданским Кодексом Российской Федерации;
- Уголовным Кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями);
- Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями);
- постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановлением Правительства РФ от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282 (с последующими изменениями).
2.4. Обработка персональных данных в Управлении должна осуществляться на основе принципов, определенных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями).
2.5. Лицо, ответственное за организацию обработки персональных данных в Управлении, определяется приказом Управления.
2.6. Руководители структурных подразделений Управления, производящих обработку персональных данных, являются ответственными за обработку и защиту персональных данных в своих подразделениях.
2.7. Структурными подразделениями Управления, осуществляющими обработку персональных данных субъектов персональных данных, не отнесенных к общедоступным персональным данным, являются:
- отдел учета, отчетности и организационно-кадровой работы;
- отдел машиностроительного комплекса и энергетики;
- отдел отраслей промышленности.
2.8. Обработка персональных данных без использования средств автоматизации ведется в отделе учета, отчетности и организационно-кадровой работы, отделе машиностроительного комплекса и энергетики, отделе отраслей промышленности.
2.9. Методы и способы защиты информации, целесообразность их применения для обеспечения безопасности персональных данных в информационных системах, осуществляющих обработку персональных данных разрабатываются структурными подразделениями Управления, указанными в п. 2.7. настоящего Положения с учетом актуальных угроз безопасности персональных данных, определяемых для каждой информационной системы персональных данных.
2.10. Настоящее Положение является обязательным для исполнения всеми работниками Управления, имеющими доступ к персональным данным.

3. Условия сбора и обработки персональных данных

3.1. Сбор персональных данных осуществляется как путем представления их самим субъектом, так и путем получения их от иных источников при условии соблюдения части 8 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями). Если персональные данные субъекта персональных данных получены не от субъекта персональных данных, то до начала их обработки необходимо предоставить субъекту информацию, определенную частью 3 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями), за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями).
3.2. Персональные данные о частной жизни субъекта персональных данных (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) в Управлении могут быть получены и обработаны сотрудниками, допущенными к обработке персональных данных, только с письменного согласия субъекта персональных данных на бумажном носителе или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Обработка специальных категорий персональных данных при отсутствии согласия субъекта персональных данных возможна при наличии оснований, указанных в части 2 статьи 10 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями).
3.3. Управление не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
3.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта персональных данных распространяются как на бумажные, так и на электронные носители информации.
3.5. Государственные служащие, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме, согласно приложению к настоящему Положению.

4. Хранение и использование персональных данных

4.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, со сроком хранения, определенным частью 7 статьи 5 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями).
4.2. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.3. Список ответственных лиц в Управлении за обработку персональных данных, подлежащих защите, утверждается приказом Управления.
4.4. Право доступа к персональным данным субъекта персональных данных внутри Управления имеют:
- начальник Управления;
- заместитель начальника Управления;
- руководители структурных подразделений Управления по направлению деятельности (доступ к персональным данным только сотрудников своего подразделения);
- заместители руководителей структурных подразделений Управления по направлению деятельности;
- сам субъект персональных данных;
- сотрудники Управления, допущенные к работе с персональными данными, при выполнении ими своих служебных обязанностей.

5. Передача персональных данных субъектов

5.1. Передача персональных данных субъекта персональных данных возможна только с согласия субъекта персональных данных или в случаях, предусмотренных законодательством. Если передача персональных данных субъекта персональных данных не предусмотрена законодательством, то с субъекта персональных данных в обязательном порядке берется письменное согласие на бумажном носителе или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
5.2. При передаче персональных данных субъекта персональных данных уполномоченные начальником Управления сотрудники должны соблюдать следующие требования:
- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим защиты персональных данных;
- передавать персональные данные субъекта представителям субъектов персональных данных в порядке, установленном федеральными законами, и ограничивать эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.
5.3. Передача персональных данных от Управления или его представителей иному оператору персональных данных может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных, и только после заключения с этим оператором договора о соблюдении конфиденциальности.
5.4. Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.

6. Права субъектов по обеспечению защиты персональных
данных, хранящихся в Управлении

6.1. В целях защиты персональных данных, хранящихся в Управлении, субъект персональных данных имеет право:
- на полную информацию о своих персональных данных и обработке этих данных;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований федеральных законов;
- дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законодательством;
- требовать об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суде любых неправомерных действий или бездействия при обработке и защите его персональных данных.

7. Меры по обеспечению защиты персональных данных
в информационных системах Управления

7.1. Обработка и защита персональных данных в информационных системах персональных данных без использования средств автоматизации организуется на основании Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 № 687.
7.2. Применяемые меры по защите персональных данных в структурных подразделениях Управления должны быть направлены на:
- ограничение доступа персонала и посторонних лиц в помещения, где размещены информационные системы персональных данных и хранятся материальные носители персональных данных;
- организацию учета и надежного хранения материальных носителей персональных данных, их обращения, исключающие хищение, подмену и уничтожение.
7.3. Обработка и защита персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 № 1119, нормативными и руководящими документами уполномоченных федеральных органов исполнительной власти.
7.4. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
7.5. Необходимыми мерами, принимаемыми для обеспечения выполнения Управлением, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями) далее - Федеральный закон) и принятыми в соответствии с ним нормативными правовыми актами, являются:
а) назначение лица, ответственного за организацию обработки персональных данных;
б) издание документов, определяющих политику Управления в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
в) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
г) осуществление внутреннего контроля соответствия обработки персональных данных нормам Федерального закона и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
д) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых Управлением мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
е) ознакомление работников Управления, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Управления в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
ж) устранение нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных в соответствии со статьей 21 Федерального закона;

з) выполнение иных мер, установленных постановлением Правительства Российской Федерации от 24.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
7.6. В целях обеспечения безопасности всех обрабатываемых персональных данных принимаются следующие меры, соответствующие 4-му уровню защищенности информационных систем, в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных":
а) организация режима обеспечения безопасности помещений, обеспечивающего сохранность персональных данных и исключающего несанкционированный к ним доступ;
б) обеспечение сохранности носителей персональных данных, путем определения мест хранения информации, содержащей персональные данные;
в) обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
г) утверждения перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных обязанностей, введением парольной политики, устанавливающей сложность ключей и атрибутов доступа (паролей), а также их периодическую смену.

8. Порядок привлечения специализированных сторонних
организаций к разработке информационных систем
персональных данных и средств защиты
информации Управления

8.1. Порядок привлечения специализированных сторонних организаций к разработке и эксплуатации новых информационных систем персональных данных, их задачи и функции на различных стадиях создания и эксплуатации определяются Управлением, исходя из особенностей информационных систем.
8.2. Для выбора и реализации методов и способов защиты информации в информационных системах персональных данных Управления может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

9. Ответственность за нарушение норм, регулирующих
получение, обработку и защиту персональных данных

9.1. Персональная ответственность - одно из главных требований к организации функционирования в Управлении системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.
9.2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.
9.3. Должностные лица Управления, виновные в нарушении норм и требований действующего законодательства, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством.





Приложение
к Положению
об обработке и защите
персональных данных в Управлении
промышленности и энергетики
Пензенской области

ОБЯЗАТЕЛЬСТВО
о неразглашении персональных данных

Я, __________________________________________________________________,
(фамилия, имя, отчество)
замещающий(ая) должность государственной гражданской службы Пензенской
области____________________________________________________________________
(наименование должности)
в Управлении промышленности и энергетики Пензенской области,
предупрежден(а), что на период исполнения должностных обязанностей
в соответствии с должностным регламентом, мне будет предоставлен допуск
к работе с персональными данными.

Настоящим добровольно принимаю на себя обязательства:
- не разглашать сведения, составляющие персональные данные, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей, не сообщать устно или письменно, не передавать третьим лицам и не раскрывать публично сведения о персональных данных, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей, а также после прекращения действия служебного контракта;
- в случае попытки третьих лиц получить от меня сведения о персональных данных немедленно сообщать об этом непосредственному руководителю;
- не использовать сведения о персональных данных с целью получения выгоды;
- незамедлительно сообщать непосредственному руководителю об утрате или недостаче носителей информации, пропусков, удостоверений, ключей от хранилищ, сейфов, личных печатей и о других фактах, которые могут привести к разглашению сведений о персональных данных;
- в случае прекращения служебного контракта все материальные носители, содержащие сведения о персональных данных (флеш-накопители, дискеты, компакт-диски, документы, черновики, распечатки и пр.) передать непосредственному руководителю;
- выполнять требования нормативных правовых актов, регламентирующих вопросы обработки и защиты персональных данных.
Я предупрежден(а), что в случае нарушения данного обязательства буду привлечен(а) к ответственности в соответствии с действующим законодательством Российской Федерации.

_____________________ ___________________________
(подпись) (расшифровка подписи)

"____"_________________________ г.


------------------------------------------------------------------