Приказ от 30.08.2013 г № 98
О мерах по защите персональных данных в управлении природных ресурсов и охраны окружающей среды Алтайского края
В соответствии с Федеральными законами от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1.Назначить лицом, ответственным за организацию защиты конфиденциальной информации и обработку персональных данных в управлении природных ресурсов и охраны окружающей среды Алтайского края заместителя начальника управления Авцинова С.И.
2.Утвердить:
Правила обработки персональных данных в управлении природных ресурсов и охраны окружающей среды Алтайского края;
Правила рассмотрения управлением природных ресурсов и охраны окружающей среды Алтайского края запросов субъектов персональных данных или их представителей;
Правила осуществления в управлении природных ресурсов и охраны окружающей среды Алтайского края внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
Правила работы с обезличенными данными в управлении природных ресурсов и охраны окружающей среды Алтайского края;
Перечень информационных систем персональных данных, функционирующих в управлении природных ресурсов и охраны окружающей среды Алтайского края;
Перечень должностей гражданских служащих управления природных ресурсов и охраны окружающей среды Алтайского края, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
Порядок доступа гражданских служащих и иных работников управления природных ресурсов и охраны окружающей среды Алтайского края, служащих в помещения, в которых ведется обработка персональных данных;
перечни персональных данных, обрабатываемых в управлении природных ресурсов и охраны окружающей среды Алтайского края;
должностные обязанности лица, ответственного за организацию обработки персональных данных в управлении природных ресурсов и охраны окружающей среды Алтайского края;
типовое обязательство работника управления природных ресурсов и охраны окружающей среды Алтайского края, непосредственно осуществляющего обработку персональных данных, о неразглашении персональных данных;
типовую форму согласия на обработку персональных данных гражданских служащих управления природных ресурсов и охраны окружающей среды Алтайского края;
типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
3.Признать утратившим силу приказ управления природных ресурсов и охраны окружающей среды Алтайского края от 30.08.2012 N 80 "О защите персональных данных работников управления природных ресурсов и охраны окружающей среды Алтайского края".
4.Контроль за исполнением настоящего приказа оставляю за собой.
Заместитель начальника управления
С.И.АВЦИНОВ
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ ПРИРОДНЫХ
РЕСУРСОВ И ОХРАНЫ ОКРУЖАЮЩЕЙ СРЕДЫ АЛТАЙСКОГО КРАЯ
I.Общие положения
1.Правила обработки персональных данных в управлении природных ресурсов и охраны окружающей среды Алтайского края (далее - "Правила") разработаны с целью обеспечения защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты при их обработке в управлении природных ресурсов и охраны окружающей среды Алтайского края (далее - "управление").
2.Настоящие Правила определяют:
процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
цели обработки персональных данных;
категории субъектов, персональные данные которых обрабатываются;
сроки обработки персональных данных и их хранения;
порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
3.В настоящем Порядке используются следующие основные понятия:
работники управления - государственные гражданские служащие управления и иные физические лица, состоящие с управлением в трудовых отношениях;
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
4.Обработка персональных данных осуществляется в соответствии с требованиями следующих нормативных правовых актов:
Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации";
Указа Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
постановления Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
постановления Правительства от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
закона Алтайского края от 28.10.2005 N 78-ЗС "О государственной гражданской службе Алтайского края";
постановления Администрации Алтайского края от 24.09.2009 N 408 "О представлении гражданином, претендующим на замещение должности государственной гражданской службы Алтайского края, и государственным гражданским служащим Алтайского края сведений о доходах, об имуществе и обязательствах имущественного характера";
иных нормативных правовых актов, регулирующих общественные отношения в области предоставления, обработки и защиты персональных данных.
3.Управление в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" является оператором, организующим и (или) осуществляющим обработку персональных данных работников управления, а также определяющим цели и содержание обработки персональных данных (зарегистрировано в реестре операторов, осуществляющих обработку персональных данных, за номером 10-0158740).
5.При обработке персональных данных применяются следующие документы, утвержденные приказом начальника управления:
Правила рассмотрения запросов субъектов персональных данных или их представителей;
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
Правила работы с обезличенными данными;
Перечень информационных систем персональных данных;
Перечни персональных данных, обрабатываемых в управлении в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций;
Перечень должностей гражданских служащих управления, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
Перечень должностей гражданских служащих и иных работников управления, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
должностные обязанности гражданского служащего управления, ответственного за организацию обработки персональных данных и гражданского служащего, осуществляющего обработку персональных данных;
типовое обязательство работника управления природных ресурсов и охраны окружающей среды Алтайского края, непосредственно осуществляющего обработку персональных данных, о неразглашении персональных данных;
типовая форма согласия на обработку персональных данных гражданских служащих управления, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
Порядок доступа гражданских служащих и иных работников управления служащих в помещения, в которых ведется обработка персональных данных.
6.Вопросы получения, обработки, хранения, передачи и любого другого использования персональных данных работников управления, не урегулированные настоящим Порядком, регулируются в соответствии с нормативными правовыми актами Российской Федерации и Алтайского края.
II.Выявление и предотвращение нарушений законодательства
Российской Федерации в сфере персональных данных
7.Выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных осуществляется в управлении посредством:
применения правовых, организационных и технических мер по обеспечению безопасности персональных данных и выполнения требований к защите информации, установленных нормативными правовыми актами, инструкциями уполномоченного органа государственной власти, локальными правовыми актами управления;
назначения лица, ответственного за организацию обработки персональных данных;
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами;
определения оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами управлениям по вопросам обработки персональных данных и (или) организации обучения указанных работников;
оформления согласия на обработку персональных данных гражданских служащих управления и разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
оформления обязательства работника управления, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
8.Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Реализацию требований по обеспечению технической защиты информационных систем, в которых обрабатываются персональные данные, осуществляет отдел правового, информационного и кадрового обеспечения управления.
Отдел бухгалтерского учета управления обеспечивает надлежащее финансирование мероприятий по обеспечению технической защиты информационных систем, в которых обрабатываются персональные данные, за счет выделяемых управлению средств.
9.При обработке персональных данных в информационных системах в соответствии с постановлением Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
III.Цели обработки персональных данных и содержание обрабатываемых персональных данных
10.Обработка персональных данных в управлении осуществляется в следующих целях:
реализации служебных или трудовых отношений;
оказания относящихся к компетенции управления государственных услуг;
осуществления регионального государственного экологического надзора;
рассмотрения обращений граждан, органов государственной власти, органов местного самоуправления, иных юридических лиц;
исполнения поручений Администрации края;
организации работы Общественного совета при управлении.
11.Работниками, уполномоченными на обработку персональных данных в управлении, являются:
при обработке персональных данных в целях реализации служебных или трудовых отношений - гражданские служащие отдела правового, информационного и кадрового обеспечения, а также гражданские служащие (иные работники) отдела бухгалтерского учета управления;
при обработке персональных данных в целях оказания государственных услуг - государственные служащие и иные работники структурных подразделений управления, осуществляющих предоставление соответствующих государственных услуг;
при обработке персональных данных в целях осуществления регионального государственного экологического надзора - гражданские служащие управления, уполномоченные на осуществление регионального государственного экологического надзора в соответствии с законом Алтайского края..., а также гражданские служащие отдела правового, информационного и кадрового обеспечения, в должностные обязанности которых входит правовое обеспечение деятельности управления;
при обработке персональных данных в связи с рассмотрением обращений граждан, органов государственной власти, органов местного самоуправления, иных юридических лиц и исполнением поручений Администрации края - работник управления и их непосредственные руководители, на рассмотрении (исполнении) которых находится соответствующее обращение (поручение).
Обработка персональных данных осуществляется работниками, уполномоченными на обработку персональных данных, в объеме, необходимом для исполнения ими своих должностных обязанностей.
12.Доступ к персональным данным имеют:
работники управления, уполномоченные на обработку персональных данных, начальник управления;
заместители начальника управления - к персональным данным работников курируемых ими структурных подразделений управления, лиц, принимаемых на работу в эти подразделения либо состоящих в кадровом резерве на замещение вакантных должностей в этих подразделениях, а также лиц, персональные данные которых стали известны в связи с оказанием государственных услуг и осуществлением государственных функций;
руководители и заместители руководителей структурных подразделений - к персональным данным работников возглавляемых ими структурных подразделений, лиц, принимаемых на работу в эти подразделения либо состоящих в кадровом резерве на замещение вакантных должностей в этих подразделениях, а также лиц, персональные данные которых стали известны в связи с оказанием соответствующим подразделением государственных услуг и осуществлением государственных функций;
члены аттестационных, конкурсных, квалификационных комиссий управления, комиссии по соблюдению требований к служебному поведению государственных гражданских служащих управления и урегулированию конфликта интересов - к персональным данным гражданских служащих, в отношении которых рассматриваются вопросы, относящиеся к компетенции соответствующей комиссии.
Указанные в настоящем пункте гражданские служащие и иные лица имеют право на доступ только к тем персональным данным, которые необходимы им для рассмотрения вопросов, относящихся к их компетенции.
13.Содержание обрабатываемых персональных данных включает в себя:
анкетные и биографические данные гражданина, в том числе данные о месте жительства и регистрации;
паспортные данные или данные иного документа, удостоверяющего личность и гражданство;
сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
сведения о трудовой деятельности, повышении квалификации и переподготовке;
сведения о составе семьи, бывших супругов, наличии иждивенцев, о месте работы или учебы указанных лиц;
сведения о состоянии здоровья и наличии заболеваний (в случаях, установленных законом);
сведения об отношении к воинской обязанности;
сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;
сведения об идентификационном номере налогоплательщика;
сведения о социальных льготах и социальном статусе;
сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
сведения о привлечении к административной ответственности при осуществлении регионального государственного экологического надзора;
иные сведения, необходимые для обработки оператором персональных данных.
Перечни персональных данных, включающие содержание обрабатываемых персональных данных для каждой цели их обработки, утверждаются приказом начальника управления.
Сведения о доходах, об имуществе и обязательствах имущественного характера гражданских служащих, замещающих высшие и главные должности гражданской службы, должности гражданской службы, указанные в приказе управления от 27.09.2011 N 125 "Об утверждении перечня должностей гражданской службы, замещение которых связано с коррупционными рисками", их супругов и несовершеннолетних детей размещаются в 14-дневный срок со дня истечения срока, установленного для их представления, на официальном сайте управления и предоставляются для опубликования средствам массовой информации по их запросам в порядке, определяемом нормативными правовыми актами Российской Федерации.
14.Указанные в пунктах 11, 12 настоящего Порядка гражданские служащие и иные лица несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты персональных данных работников управления.
IV.Субъекты, персональные данные которых обрабатываются
15.Категории субъектов, персональные данные которых обрабатываются:
1) гражданские служащие управления, иные работники управления;
2) лица, претендующие на замещение в управлении должностей гражданской службы в управлении и должностей, не отнесенных к должностям гражданской службы (в том числе лица, состоящие в кадровом резерве на замещение вакантной должности государственной гражданской службы в управлении, и лица, принимаемые на работу в управление);
3) лица, обратившиеся в управление в связи с предоставлением государственных услуг, относящихся к компетенции управления;
4) лица, персональные данные которых обрабатываются в связи с осуществлением регионального государственного экологического надзора;
5) иные обратившиеся в управление лица;
6) лица, доступ к персональным данным которых получен в связи с исполнением поручений Администрации Алтайского края, рассмотрением обращений граждан, органов государственной власти, органов местного самоуправления, иных юридических лиц;
7) персональные данные членов Общественного совета при управлении.
V.Обработка и хранение персональных данных
16.Персональные данные обрабатываются с использованием и без использования средств автоматизации.
Обработка персональных данных осуществляется в соответствии с постановлениями Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
17.Обработка персональных данных осуществляется после получения согласия субъекта персональных данных на обработку его персональных данных в соответствии с типовой формой согласия, утвержденной приказом начальника управления. В случае, если предоставление персональных данных является обязательным, субъекту персональных данных разъясняются юридические последствия отказа предоставить его персональные данные согласно типовой форме, утвержденной приказом начальника управления.
18.Сроки обработки и хранения персональных данных гражданских служащих, иных работников управления определяются нормами законодательства Российской Федерации в области государственной гражданской службы, трудового законодательства, законодательства об архивном деле.
Сроки обработки и хранения персональных данных иных лиц определяются исходя из целей обработки персональных данных, если иной срок не установлен федеральным законом или договором, стороной которого является управление.
19.Изменения в персональные данные вносятся в течение 7 рабочих дней со дня предоставления соответствующих сведений субъектом персональных данных (его представителем) в соответствии с Правилами рассмотрения запросов субъектов персональных данных, утвержденных приказом начальника управления.
VI.Уничтожение персональных данных
20.Решение о необходимости уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований принимает лицо, непосредственно осуществляющее обработку персональных данных, по согласованию с непосредственным руководителем соответствующего структурного подразделения.
21.При получении от субъекта персональных данных (его представителя) сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, управление уничтожает такие персональные данные в течение 7 рабочих дней со дня получения запроса субъекта персональных данных в соответствии с Правилами рассмотрения запросов субъектов персональных данных, утвержденных приказом начальника управления.
22.Уничтожение персональных данных производится путем физического уничтожения носителя персональных данных или путем удаления персональных данных без физического повреждения носителя персональных данных.
При необходимости уничтожения части персональных данных, содержащихся на бумажном носителе, с указанного носителя предварительно копируются сведения, не подлежащие уничтожению, затем уничтожается сам носитель.
23.Факт уничтожения персональных данных оформляется соответствующим актом.
24.Структурные подразделения управления ведут учет уничтоженных персональных данных в специальном журнале, относящемся к конфиденциальным документам, с указанием следующих сведений:
категория персональных данных,
субъект персональных данных,
цели обработки персональных данных,
дата и номер акта об уничтожении,
сведения о лице, принявшем решение об уничтожении персональных данных (фамилия, имя, отчество, должность, наименование структурного подразделения).
Внесенная в журнал запись подтверждается подписью лица, принявшего решение об уничтожении персональных данных.
25.Иные требования к уничтожению персональных данных при достижении целей обработки или при наступлении иных законных оснований определяются нормами законодательства Российской Федерации в области государственной гражданской службы, трудового законодательства, законодательства об архивном деле.
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
В УПРАВЛЕНИИ ПРИРОДНЫХ РЕСУРСОВ И ОХРАНЫ ОКРУЖАЮЩЕЙ
СРЕДЫ АЛТАЙСКОГО КРАЯ
1.Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", за исключением случаев ограничения указанного права федеральными законами в соответствии с частью 8 статьи 14 Федерального закона "О персональных данных".
2.Сведения должны быть предоставлены управлением субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3.Сведения предоставляются управлением субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать:
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в отношениях с управлением, либо сведения, иным образом подтверждающие факт обработки персональных данных управлением;
подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4.Поступивший в управление запрос субъекта персональных данных или его представителя подлежит регистрации в качестве входящего документа.
5.В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в управление или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.Субъект персональных данных вправе обратиться повторно в управление или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих Правил, должен содержать обоснование направления повторного запроса.
7.Управление вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5, 6 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на управлении.
8.Запросы субъекта персональных данных или его представителя рассматриваются в 30-дневный срок со дня их регистрации с особенностями, установленными пунктами 8, 9 настоящих Правил.
Результат рассмотрения запроса (запрошенные сведения, отказ, информация о внесенных изменениях, уничтожении данных, иная информация) предоставляются субъекту персональных данных или его представителю непосредственно (с росписью в получении) либо направляются на указанный в запросе электронный или почтовый адрес.
9.Субъект персональных данных вправе требовать от управления уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.В течение 7 рабочих дней со дня получения от субъекта персональных данных или его представителя сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, управление вносит в них необходимые изменения.
11.В течение 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, управление уничтожает такие персональные данные.
12.О внесенных изменениях в персональные данные или об уничтожении персональных данных управление информирует субъекта персональных данных (его представителя).
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ В УПРАВЛЕНИИ ПРИРОДНЫХ РЕСУРСОВ И ОХРАНЫ
ОКРУЖАЮЩЕЙ СРЕДЫ АЛТАЙСКОГО КРАЯ ВНУТРЕННЕГО КОНТРОЛЯ
СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.В целях обеспечения соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами управления природных ресурсов и охраны окружающей среды Алтайского края (далее - "управление") осуществляется внутренний контроль.
2.В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - "внутренний контроль") в управлении организуются периодические проверки условий обработки персональных данных.
Периодические проверки условий обработки персональных данных проводятся в форме плановых и внеплановых проверок, назначенных приказом начальника управления.
3.Проверки осуществляются лицом, ответственным за организацию обработки персональных данных в управлении, либо комиссией, образуемой приказом начальника управления.
4.В проведении проверки не может участвовать гражданский служащий, иной работник управления, заинтересованный прямо или косвенно в ее результатах.
5.Плановые проверки проводятся не реже 1 (одного) раза в год в соответствии с планом, утвержденным начальником управления.
6.Основанием для проведения внеплановой проверки решение начальника управления либо поступившее письменное заявление гражданина или юридического лица о нарушениях правил обработки персональных данных, а также.
7.Проведение внеплановой проверки на основании поступившего заявления о нарушениях правил обработки персональных данных организуется в течение 7 рабочих дней со дня поступления этого заявления.
8.При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
нарушения требований Федерального закона "О защите персональных данных", иных нормативных правовых актов и локальных актов управления, принятых в области защиты персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
осуществление мероприятий по обеспечению целостности персональных данных;
виновность лиц, допустивших нарушения установленных требований в области защиты персональных данных.
9.Ответственный за организацию обработки персональных данных в управлении (члены комиссии) имеет право:
запрашивать у работников управления информацию, необходимую для проведения проверки;
требовать от работников управления, осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить начальнику управления предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить начальнику управления предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
10.В отношении персональных данных, ставших известными лицам, проводившим проверку, должна обеспечиваться конфиденциальность персональных данных.
11.Проверка проводится в течение месяца со дня принятия решения о ее проведении.
12.О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, составляется и направляется начальнику управления заключение, подписываемое лицом, ответственным за организацию обработки персональных данных либо председателем комиссии.
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ В УПРАВЛЕНИИ ПРИРОДНЫХ
РЕСУРСОВ И ОХРАНЫ ОКРУЖАЮЩЕЙ СРЕДЫ АЛТАЙСКОГО КРАЯ
1.В соответствии с пунктом 9 статьи 3 Федерального закона "О персональных данных" обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.Обезличенные данные обрабатываются с использованием и без использования средств автоматизации.
3.Обезличивание персональных данных осуществляется путем уменьшения обрабатываемых сведений, замены части сведений идентификаторами, обобщения (понижения) точности некоторых сведений, деления сведений на части и другими способами.
4.Обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, осуществляется согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных.
5.Обезличивание персональных данных обязательно при обработке персональных данных в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона "О персональных данных", а также для размещения информации о деятельности управления в средствах массовой информации и в сети Интернет.
6.Перечень должностей гражданских служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных:
Руководство:
начальник управления;
заместитель начальника управления;
заместитель начальника управления, начальник отдела экологической экспертизы и нормирования.
Отдел правового, информационного и кадрового обеспечения:
начальник отдела;
консультант;
главный специалист;
главный специалист по 10 разряду Единой тарифной сетки.
Межрайонный отдел экологического надзора:
начальник отдела;
заместитель начальника отдела;
главный специалист.
Отдел водных ресурсов:
начальник отдела;
консультант;
главный специалист.
Отдел природных ресурсов:
начальник отдела;
главный специалист.
Отдел экологической экспертизы и нормирования:
заместитель начальника отдела;
главный специалист.
Отдел бухгалтерского учета:
начальник отдела;
главный специалист.
7.Обезличивание персональных данных в обязательном порядке контролируется начальниками структурных подразделений управления при согласовании ими информации, подготовленной работниками соответствующих отделов.
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ
ПРИРОДНЫХ РЕСУРСОВ И ОХРАНЫ ОКРУЖАЮЩЕЙ СРЕДЫ
АЛТАЙСКОГО КРАЯ
| N п/п | Наименование ИСПДн (ее составные части) | Наименование объекта (полное или сокращенное) Отраслевая (ведомственная) принадлежность Адрес объекта | Исходные данные классификации ИСПДн | Класс ИСПДн | Примечание | ||||
| Структура ИСПДн | Наличие подключений к сети Интернет и сетям общего пользования | Режим обработки ПДн | Разграничение доступа пользователей | Нахождение ИСПДн в пределах РФ | |||||
| 1. | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 1. | 1С Предприятие 7.7 "Зарплата и кадры" | Управление природных ресурсов и охраны окружающей среды Алтайского края, г. Барнаул, ул. Гоголя, 42 | Распределенная информационная система | Нет | Многопользовательский | С разграничением прав доступа | Расположение в пределах РФ | К4 | |
| 2. | 1С Предприятие 8.2 "Бухгалтерия государственного учреждения" | Распределенная информационная система | Нет | Многопользовательский | С разграничением прав доступа | Расположение в пределах РФ | К4 | ||
| 3. | Система для работы с отчетными данными "СБИС++" | Автоматизированное рабочее место | Подключение к Интернет | Однопользовательский | Без разграничения прав доступа | Расположение в пределах РФ | К4 | ||
| 4. | Система для работы с налоговой отчетностью "Налогоплательщик ЮЛ" | Управление природных ресурсов и охраны окружающей среды Алтайского края, г. Барнаул, ул. Гоголя, 42 | Локальная информационная система | Нет | Однопользовательский | Без разграничения прав доступа | Расположение в пределах РФ | К4 | |
| 5. | Программа подготовки отчетных документов для ПФР "Spu_orb" | Локальная информационная система | Нет | Однопользовательский | Без разграничения прав доступа | Расположение в пределах РФ | К4 | ||
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В УПРАВЛЕНИИ ПРИРОДНЫХ
РЕСУРСОВ И ОХРАНЫ ОКРУЖАЮЩЕЙ СРЕДЫ АЛТАЙСКОГО КРАЯ
В связи с реализацией служебных или трудовых отношений, оказанием государственных услуг и осуществлением государственных функций в управлении природных ресурсов и охраны окружающей среды Алтайского края обрабатываются следующие персональные данные:
анкетные и биографические данные гражданина, в том числе адрес регистрации по месту жительства, адрес фактического проживания;
паспортные данные или данные иного документа, удостоверяющего личность (включая серию, номер, дату выдачи, наименование органа, выдавшего документ), гражданство;
сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовке;
сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учебы членов семьи;
сведения о состоянии здоровья и наличии заболеваний (в случаях, установленных законом);
сведения об отношении к воинской обязанности;
сведения о воинском или специальном звании;
сведения о доходах, имуществе и обязательствах имущественного характера, в том числе членов семьи;
сведения об идентификационном номере налогоплательщика;
сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
сведения о прежних фамилии, имени, отчестве (в случае изменения);
фотографическое изображение;
сведения о допуске к государственной тайне;
сведения о пребывании за границей, проживании близких родственников за границей;
сведения о наградах и знаках отличия;
сведения, содержащиеся в личной карточке работника, личной карточке государственного (муниципального) служащего;
сведения о страховом номере индивидуального лицевого счета;
сведения о наличии классного чина, дипломатического ранга, квалификационного разряда;
сведения о наличии (отсутствии) судимости либо привлечения к административной ответственности, в том числе близких родственников;
сведения о лицевых счетах;
номер контактного телефона или сведения о других способах связи.
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ В УПРАВЛЕНИИ ПРИРОДНЫХ РЕСУРСОВ И ОХРАНЫ
ОКРУЖАЮЩЕЙ СРЕДЫ АЛТАЙСКОГО КРАЯ, ПРЕДУСМАТРИВАЮЩИХ
ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО
ОСУЩЕСТВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
Начальник управления
Заместители начальника управления
Далее по отделам:
Межрайонный отдел экологического надзора:
Начальник отдела
Главные специалисты (инспекторы)
Отдел особо охраняемых природных территорий и экологического просвещения:
Начальник отдела
Главные специалисты
Ведущий специалист по 8 разряду ЕТС
Отдел экологической экспертизы и нормирования:
Начальник отдела
Заместитель начальника отдела
Главный специалист отдела экологической экспертизы и нормирования, ответственный за ведение учета и контроля радиоактивных веществ и радиоактивных отходов
Главные специалисты
Ведущий специалист по 9 разряду ЕТС
Ведущие специалисты по 8 разряду ЕТС
Отдел водных ресурсов:
Начальник отдела
Консультант
Главные специалисты
Отдел правового, информационного и кадрового обеспечения:
Начальник отдела
Консультант
Главный специалист отдела правового, информационного и кадрового обеспечения, ответственный за кадровое обеспечение управления
Главный специалист отдела правового, информационного и кадрового обеспечения, ответственный по взаимодействию со СМИ
Главный специалист отдела правового, информационного и кадрового обеспечения, ответственный за правовое обеспечение управления
Главный специалист отдела правового, информационного и кадрового обеспечения, ответственный за информационно-техническое обеспечение управления
Главный специалист по 10 разряду ЕТС (секретарь)
Отдел бухгалтерского учета:
Главный бухгалтер
Главные специалисты
Кассир
Заведующий хозяйством
Отдел природных ресурсов
Начальник отдела
Главные специалисты (геологи)
Ведущий специалист по 8 разряду ЕТС
ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ
ЛИЦА, ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ В УПРАВЛЕНИИ ПРИРОДНЫХ РЕСУРСОВ И ОХРАНЫ ОКРУЖАЮЩЕЙ
СРЕДЫ АЛТАЙСКОГО КРАЯ
Должностные обязанности лица, ответственного за организацию обработки персональных данных в управлении природных ресурсов и охраны окружающей среды Алтайского края (далее - "управление"):
организация обработки персональных данных в соответствии с требованиями к защите персональных данных, установленных федеральными законами, иными нормативными правовыми актами, рекомендациями уполномоченного органа государственной власти, указаниями Администрации Алтайского края, локальными актами управления;
осуществление внутреннего контроля соответствия обработки персональных данных в управлении требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами управления;
организация работы по изучению работниками управления нормативных правовых актов, требований и методов, установленных уполномоченным органом по защите прав субъектов персональных данных, локальных актов управления в области защиты информации (включая защиту персональных данных);
организация приема и обработки обращений и запросов субъектов персональных данных или их представителей, осуществление контроля за приемом и обработкой таких обращений и запросов.
ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
работника управления природных ресурсов и охраны окружающей среды
Алтайского края, непосредственно осуществляющего обработку персональных
данных, о неразглашении персональных данных
Я, ________________________________________________________________________
(фамилия, имя, отчество)
___________________________________________________________________________
(должность)
__________________________________________________________________________,
обязуюсь при исполнении своих должностных обязанностей соблюдать
требования, установленные для работы с персональными данными Федеральным
законом от 27.07.2006 N 152-ФЗ "О персональных данных", принятыми в
соответствии с ним нормативными правовыми актами и локальными правовыми
актами управления.
Я обязуюсь не разглашать персональные данные, ставшие мне известными в
связи с исполнением должностных обязанностей.
Я обязуюсь прекратить обработку персональных данных, ставших
известными мне в связи с исполнением должностных обязанностей, в случае
расторжения со мной контракта (договора), освобождения меня от замещаемой
должности и увольнения.
В соответствии со статьей 7 Федерального закона "О персональных
данных" я уведомлен(а) о том, что персональные данные являются
конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не
распространять персональные данные, ставшие известными мне в связи с
исполнением должностных обязанностей, без согласия субъекта персональных
данных.
Ответственность, предусмотренная Федеральным законом "О персональных
данных" и другими федеральными законами, мне разъяснена.
__________________ __________________ ___________________________________
дата подпись фамилия, имя, отчествоТИПОВАЯ ФОРМА
согласия на обработку персональных данных гражданских
служащих управления природных ресурсов и охраны
окружающей среды Алтайского края
Я, ___________________________________________________________________,
(фамилия, имя, отчество)
документ, удостоверяющий личность: ________________________________________
наименование, серия и номер
___________________________________________________________________________
дата выдачи, организация, выдавшая документВ соответствии с требованиями статьи 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" даю добровольное согласие на обработку моих персональных данных управлению природных ресурсов и охраны окружающей среды Алтайского края, расположенному по адресу ______________________________ (далее - "управление", "Оператор"), в целях обеспечения соблюдения Конституции Российской Федерации, трудового законодательства и иных нормативных правовых актов, содействия в прохождении государственной гражданской службы, обучении и продвижении по гражданской службе, обеспечения моей безопасности и членов моей семьи, а также в целях обеспечения сохранности имущества, учета результатов исполнения должностных обязанностей и других целей осуществления трудовых отношений с Оператором, включая взаимоотношения Оператора с Федеральной налоговой службой, Пенсионным фондом России, Фондом социального страхования и подразделениями названных организаций.
Согласие дается Оператору для обработки следующих персональных данных: фамилия, имя, отчество, пол, дата и место рождения, адрес регистрации и места фактического проживания, контактный телефон, реквизиты полисов обязательного и добровольного медицинского страхования, страховой номер индивидуального лицевого счета в Пенсионном фонде РФ (СНИЛС), идентификационный номер налогоплательщика (ИНН), паспортные данные, сведения о воинском учете, сведения о государственных наградах, семейное положение и состав семьи, сведения об образовании и трудовом стаже, о заработной плате, иных доходах, подоходном налоге, взносах в пенсионный фонд, социальных льготах, содержание служебного контракта (трудового договора), об имуществе и обязательствах имущественного характера, фотографии, сведения о состоянии здоровья в установленной форме.
Предоставляю Оператору право осуществлять любые действия (операции) по обработке моих персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор вправе использовать мои персональные данные в следующих целях:
для формирования кадровых документов и для выполнения Оператором всех требований трудового законодательства и законодательства о государственной гражданской службе;
для осуществления расчетов Оператора со мной как работником (включая передачу в финансово-кредитное учреждение (банк) для зачисления денежных средств (заработной платы, премий, материальной помощи и т.д.) на счет моей банковской карты);
для размещения моей фотографии, фамилии, имени, отчества, должности, классного чина на доске Почета, в документах управления, на стендах в помещениях управления, на официальном сайте управления;
для создания и размножения (включая размещение на официальном сайте управления) визитных карточек и телефонных справочников с моей фамилией, именем и отчеством, рабочим телефоном для осуществления трудовой функции; для указания моих данных (фамилия, имя, отчество, должность, рабочий телефон) в документах, подготовленных (согласованных) мною либо касающихся исполнения моих должностных обязанностей, а также в докладах, отчетах, обзорах, подготовленных по результатам деятельности Оператора и его структурных подразделений;
для передачи в медицинское учреждение при прохождении плановой диспансеризации;
при участии в общественных мероприятиях.
Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронные базы данных, включения в списки (реестры) и отчетные формы.
Срок хранения моих персональных данных в электронных базах данных, банках данных или хранилищах данных соответствует сроку хранения приказов по личному составу учреждения (организации) и составляет 75 (семьдесят пять) лет.
Настоящее согласие вступает в законную силу в день его подписания и действует бессрочно.
Настоящее заявление может быть отозвано мною в письменной форме в любое время по моему усмотрению.
Также подтверждаю, что ознакомлен(а) с положениями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", права и обязанности в области защиты персональных данных мне разъяснены.
__________________ __________________ ___________________________________
дата подпись фамилия, имя, отчествоТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических
последствий отказа предоставить свои персональные данные
в связи с поступлением на государственную гражданскую службу
в управление природных ресурсов и охраны окружающей среды
Алтайского края, ее прохождением и увольнением с гражданской
службы
Мне, ____________________________________________________, разъяснены юридические последствия отказа предоставить свои персональные данные управлению природных ресурсов и охраны окружающей среды Алтайского края (далее - "управление").
В соответствии со статьями 26, 42 Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30.05.2005 N 609, определен перечень персональных данных, которые субъект персональных данных обязан предоставить управлению в связи с поступлением или прохождением государственной гражданской службы.
Без представления субъектом персональных данных обязательных для заключения служебного контракта сведений служебный контракт не может быть заключен.
На основании пункта 11 части 1 статьи 33 Федерального закона "О государственной гражданской службе Российской Федерации" служебный контракт прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность замещения должности гражданской службы.
__________________ __________________ ___________________________________
дата подпись фамилия, имя, отчествоПОРЯДОК
ДОСТУПА ГРАЖДАНСКИХ СЛУЖАЩИХ И ИНЫХ РАБОТНИКОВ
УПРАВЛЕНИЯ ПРИРОДНЫХ РЕСУРСОВ И ОХРАНЫ ОКРУЖАЮЩЕЙ СРЕДЫ
АЛТАЙСКОГО КРАЯ В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА
ПЕРСОНАЛЬНЫХ ДАННЫХ
1.Настоящий Порядок доступа служащих Управления в помещения, в которых ведется обработка персональных данных, разработан в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2.Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.
3.Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.
Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в шкафах, оборудованных замками.
4.Помещения, в которых ведется обработка персональных данных, запираются на ключ. Ключи от помещений ежедневно сдаются на вахту здания.
Гражданские служащие, имеющие доступ в помещения, в которых ведется обработка персональных данных, получают ключ на вахте и самостоятельно заходят в кабинеты.
5.Вскрытие и закрытие помещений, в которых ведется обработка персональных данных, производится гражданскими служащими.
6.Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня гражданские служащие, имеющие право доступа в помещения, обязаны:
убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть шкафы;
отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;
закрыть окна;
закрыть двери;
сдать ключи от помещений, в которых ведется обработка персональных данных, на вахту здания.
7.Перед открытием помещений, в которых ведется обработка персональных данных, гражданские служащие, имеющие право доступа в помещения, обязаны:
получить ключи от помещения, в которых ведется обработка персональных данных, на вахте здания;
провести внешний осмотр с целью установления целостности двери и замка;
открыть дверь и осмотреть помещение, проверить наличие и целостность замков на шкафах.
8.При обнаружении неисправности двери и запирающих устройств гражданские служащие обязаны:
не вскрывая помещение, в котором ведется обработка персональных данных, доложить непосредственному руководителю;
в присутствии не менее двух иных гражданских, включая непосредственного руководителя, вскрыть помещение и осмотреть его;
составить акт о выявленных нарушениях и передать руководителю Управления.
9.Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только гражданские служащие, непосредственно работающие в данном помещении.
Иные гражданские служащие и граждане имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии гражданских служащих, непосредственно работающих в данных помещениях.
10.При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты.
Присутствие гражданских служащих и граждан, не имеющих права доступа к персональным данным, должно быть исключено.
11.Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, уборка помещения, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии гражданского служащего, работающего в данном помещении.
12.Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на начальников отделов, обрабатывающих персональные данные.