Приказ от 10.01.2014 г №№ 01/1-ОД, 2798
Об утверждении Положения о правилах обработки персональных данных в Министерстве юстиции Республики Дагестан
В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" приказываю:
1.Утвердить прилагаемое Положение о правилах обработки персональных данных в Министерстве юстиции Республики Дагестан.
2.Признать утратившим силу приказ Министерства юстиции Республики Дагестан от 15.03.2013 N 20-ОД, за исключением пункта 1 указанного приказа.
3.Довести настоящий приказ до сведения ответственных исполнителей.
И.о. министра юстиции
Республики Дагестан
К.БИАКАЕВ
ПОЛОЖЕНИЕ
О ПРАВИЛАХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ ЮСТИЦИИ РЕСПУБЛИКИ ДАГЕСТАН
1.Общие положения
1.1.Положение о правилах обработки персональных данных (далее - Положение) в Министерстве юстиции Республики Дагестан (далее - Министерство) разработано в соответствии с Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Трудовым кодексом Российской Федерации, Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2.Положение определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Министерстве с использованием средств автоматизации и без использования таких средств.
1.3.Обработка персональных данных в Министерстве осуществляется в целях обеспечения соблюдения законных прав и интересов граждан в связи с необходимостью представления персональных данных в процессе получения государственных услуг, а также ведения кадровой работы в Министерстве (ведение личных дел, учетных карточек и трудовых книжек государственных гражданских служащих, а также документов кандидатов на замещение вакантных должностей государственной гражданской службы Министерства).
1.4.Министр юстиции Республики Дагестан (далее - Министр) определяет:
перечень персональных данных, обрабатываемых в Министерстве в связи с реализацией трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций;
перечень должностей государственных гражданских служащих Министерства, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
перечень должностей Министерства, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
ответственного за организацию обработки персональных данных в Министерстве и утверждает его должностную инструкцию (приложение N 1).
1.5.Сведения о персональных данных относятся к конфиденциальным (составляющих охраняемую законом тайну). Режим конфиденциальности в отношении персональных данных снимается:
в случае их обезличивания;
по истечении срока их хранения;
в других случаях, предусмотренных законодательством Российской Федерации.
1.6.Для целей настоящих Правил используются следующие основные понятия и определения:
"персональные данные" - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
"оператор" - Министерство, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
"субъект" - субъект персональных данных;
"обработка персональных данных" - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
"конфиденциальность персональных данных" - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным граждан, требование не допускать их распространения без согласия граждан или иного законного основания;
"распространение персональных данных" - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
"использование персональных данных" - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
"блокирование персональных данных" - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи (за исключением случаев, если обработка необходима для уточнения персональных данных);
"уничтожение персональных данных" - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
"обезличивание персональных данных" - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
"информационная система персональных данных" - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
"конфиденциальность персональных данных" - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
"общедоступные персональные данные" - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия граждан или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
"информация" - сведения (сообщения, данные) независимо от формы их представления;
"документированная информация" - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
"доступ к информации" - возможность получения информации и ее использования;
"трансграничная передача персональных данных" - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
1.7.Субъекты персональных данных, не являющиеся сотрудниками Министерства, или их законные представители имеют право ознакомиться с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.
1.8.Правила обработки и использования персональных данных, включая сроки хранения содержащих персональные данные оригиналов документов или копий документов на материальных носителях информации и в информационных системах, устанавливаются распоряжениями, приказами, административными регламентами, положениями и инструкциями Министерства, а также законодательством Российской Федерации.
1.9.Оператор уведомляет (информирует) уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных.
1.10.Данное Положение, определяющее политику Министерства в отношении обработки персональных данных, подлежит опубликованию на официальном сайте Министерства в течение 10 дней после его утверждения.
2.Состав персональных данных, обрабатываемых в Министерстве
2.1.Категории субъектов, персональные данные которых обрабатываются в Министерстве:
государственные гражданские служащие; кандидаты на замещение вакантных должностей; заявители, обратившиеся за получением государственных услуг; граждане, обратившиеся в Министерство в письменной форме или в форме электронного документа с предложением, заявлением или жалобой;
граждане, заключившие с Министерством гражданско-правовые договоры.
2.2.Состав персональных данных государственных гражданских служащих Министерства, кандидатов на замещение вакантных должностей:
фамилия, имя, отчество, доходы, профессия, образование, имущественное положение, социальное положение, семейное положение, адрес, место рождения, дата рождения, месяц рождения, год рождения, данные свидетельства о рождении, паспортные данные, номер страхового свидетельства обязательного пенсионного страхования, ИНН, гражданство, состав семьи, специальность, стаж работы, сведения о воинском учете, сведения об имуществе и обязательствах имущественного характера, данные о судимости, сведения о трудовой деятельности, данные о близких родственниках (муже, жене, несовершеннолетних детях), владение иностранным языком.
2.3.Информация, представляемая гражданами при обращении в Министерство, должна иметь документальную форму. Обращение может быть представлено также в устной и электронной форме: по телефону, электронной почте, факсом, интернет и другими способами передачи. Состав персональных данных определяется административными регламентами.
К персональным данным граждан относятся: фамилия, имя, отчество; адрес места жительства или почтовый адрес; паспортные данные (при подаче заявления на предоставление государственных услуг); адрес электронной почты (при желании): контактный телефонный номер (при желании); другие данные на усмотрение субъекта персональных данных.
3.Порядок обработки персональных данных государственных гражданских служащих Министерства и иных лиц
3.1.Обработка персональных данных государственных гражданских служащих Министерства (далее - гражданские служащие) осуществляется с их письменного согласия, которое действует со дня их поступления на государственную гражданскую службу на время прохождения государственной гражданской службы.
3.2.Наниматель в лице Министра, а также начальник Финансово-хозяйственного управления Министерства обеспечивают защиту персональных данных гражданских служащих, содержащихся в личных делах, от неправомерного их использования или утраты.
3.3.Обработка персональных данных гражданских служащих осуществляется как с использованием средств автоматизации, так и без использования таких средств.
3.4.При обработке персональных данных гражданских служащих в целях реализации возложенных на Министерство задач уполномоченные должностные лица Министерства обязаны соблюдать следующие требования:
объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;
защита персональных данных гражданского служащего от неправомерного их использования или уничтожения обеспечивается в порядке, установленном законодательством Российской Федерации;
передача персональных данных гражданского служащего не допускается без письменного согласия гражданского служащего, за исключением случаев, установленных законодательством Российской Федерации. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных гражданского служащего либо отсутствует письменное согласие гражданского служащего на передачу его персональных данных, Министерство вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;
хранение персональных данных должно осуществлять в форме, позволяющей определить гражданского служащего и иное лицо, являющееся субъектом персональных данных, не дольше, чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения персональных данных оформляется соответствующим актом;
опубликование и распространение персональных данных гражданских служащих допускается в случаях, установленных законодательством Российской Федерации.
3.5.В целях обеспечения защиты персональных данных гражданские служащие вправе:
получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированном);
иметь свободный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом "О персональных данных";
требовать внесения необходимых изменений, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.
3.6.Министерство в соответствии со статьями 44 и 64 Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" вправе осуществлять обработку (в том числе автоматизированную) персональных данных гражданских служащих при формировании кадрового резерва.
3.7.Министерство в соответствии со статьей 22 Федерального закона от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации" и пунктами 24 и 25 Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденного Указом Президента Российской Федерации от 01.02.2005 N 112, вправе осуществлять обработку (в том числе автоматизированную) персональных данных кандидатов на замещение вакантных должностей гражданской службы Министерства.
3.8.При переводе гражданского служащего в другой орган государственной власти его личное дело передается по новому месту замещения должности государственной гражданской службы по письменному запросу соответствующего органа.
4.Порядок обработки персональных данных субъектов персональных данных, осуществляемый без использования средств автоматизации
4.1.При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
4.2.При разработке и использовании документов, необходимых для реализации возложенных на Министерство полномочий, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:
документы (инструкции по их исполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес Министерства, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в документы, сроки обработки персональных данных, перечень действий, которые будут совершаться с ними в процессе обработки;
в документах должно предусматриваться поле, в котором субъект персональных данных может поставить отметку о своем согласии на их обработку (при необходимости получения согласия на обработку персональных данных);
документы должны быть составлены таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в них, при ознакомлении со своими персональными данными не имел возможности доступа к персональным данным иных лиц.
4.3.Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
4.4.Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.
4.5.Все документы, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы условия, обеспечивающие их сохранность.
5.Порядок обработки персональных данных субъектов персональных данных в информационных системах
5.1.Обработка персональных данных в Министерстве осуществляется в соответствующих информационных системах персональных данных.
Перечень персональных данных, которые обращаются в каждой из перечисленных в пункте 5.1 ИСПДн, определяется положениями об управлениях Министерства и административными регламентами об оказании государственных услуг Министерством.
5.2.Персональные данные могут быть представлены для ознакомления сотрудникам, допущенным к обработке персональных данных с использованием средств автоматизации, в соответствии с их должностными регламентами. При этом сотрудники обязаны подписать Типовое обязательство о прекращении обработки персональных данных в случае расторжения с ними контракта (приложение N 2).
5.3.Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку. Обработка указанных персональных данных возможна только с его согласия либо без его согласия в следующих случаях:
обработка персональных данных осуществляется на основании законодательства Российской Федерации, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с законодательством Российской Федерации, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
5.4.Согласие на обработку персональных данных оформляется в письменном виде. Письменное согласие на обработку своих персональных данных (приложение N 3) включает в себя:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование и адрес оператора, получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие, а также порядок его отзыва.
5.5.Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
5.6.Персональные данные несовершеннолетнего либо недееспособного субъекта персональных данных сообщают его законные представители.
5.7.Оператор может получать информацию о персональных данных субъекта персональных данных у третьей стороны. Получение персональных данных у третьей стороны возможно только при условии заблаговременного уведомления об этом субъекта персональных данных и получения от него письменного согласия (приложение N 4). Уведомление субъекта персональных данных о получении информации о нем у третьей стороны должно содержать информацию о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа в предоставлении письменного согласия на их получение.
Оператор может передавать информацию о персональных данных субъекта персональных данных третьей стороне. Передача персональных данных третьей стороне возможна только при условии заблаговременного уведомления об этом субъекта персональных данных и получения от него письменного согласия (приложение N 5).
5.8.Согласие на обработку персональных данных может быть отозвано субъектом персональных данных по письменному заявлению на имя Министра (приложение N 6).
5.9.Министерство не имеет право получать и обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни субъекта персональных данных.
5.10.Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
5.11.Сведения о персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме и не должны содержать персональные данные, относящиеся к другим субъектам персональных данных.
5.12.Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.
5.13.Оператором осуществляется классификация информационных систем персональных данных в соответствии с приказом ФСТЭК России. ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" в зависимости от категории обрабатываемых данных и их количества.
5.14.Мероприятия по обеспечению безопасности персональных данных на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с "Основными мероприятиями по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн", утвержденными заместителем директора ФСТЭК России от 15.02.2008.
5.15.На стадии ввода в эксплуатацию ИСПДн проводится ее оценка соответствия требованиям безопасности информации.
5.16.Не допускается обработка персональных данных в ИСПДн с использованием средств автоматизации при отсутствии:
утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, администратора по организации антивирусной защиты, парольной защиты автоматизированных систем и других нормативных и методических документов;
настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;
охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных;
акта соответствия требованиям безопасности информации.
5.17.Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры, и разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
5.18.Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
5.19.Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети "Интернет", не допускается.
5.20.Доступ пользователей к персональным данным в информационных системах персональных данных Министерства должен осуществляться с обязательным прохождением процедур идентификации и аутентификации.
5.21.Должностными лицами Министерства, ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных Министерства, обеспечивается:
своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства Министерства;
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль обеспечения уровня защищенности персональных данных;
соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
5.22.В случае выявления нарушений порядка обработки персональных данных в информационных системах Министерства уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.
6.Передача персональных данных
6.1.При передаче персональных данных субъекта оператор должен соблюдать следующие требования:
не сообщать персональные данные третьей стороне без письменного оповещения субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных законодательством Российской Федерации;
обеспечивать конфиденциальность персональных данных.
6.2.Порядок передачи персональных данных на обработку и хранение в подразделениях Министерства определяется должностными регламентами.
6.3.Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
7.Доступ к персональным данным
7.1.Права доступа к персональным данным субъектов в Министерстве разграничены.
7.2.Для исполнения своих должностных обязанностей право доступа к персональным данным Министерства могут иметь:
непосредственный руководитель структурного подразделения, в котором обрабатываются персональные данные;
ответственный за организацию обработки персональных данных в Министерстве;
администраторы безопасности информационных систем персональных данных;
пользователи информационных систем персональных данных, имеющие допуск к персональным данным и осуществляющие ее обработку;
сам субъект персональных данных.
7.3.Перечень должностей государственных гражданских служащих Министерства юстиции Республики Дагестан, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение N 7), утверждается Министром.
7.4.Субъект персональных данных имеет право:
7.4.1.Получать доступ к своим персональным данным, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
7.4.2.Требовать от оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.
7.4.3.Получать от оператора:
сведения о лицах, которые имеют доступ к его персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых персональных данных и источник их получения:
информацию о сроках обработки персональных данных, в том числе о сроках их хранения;
информацию о том, какие юридические последствия для него, как для субъекта персональных данных, может повлечь за собой обработка его персональных данных.
7.4.4.Обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" или иным образом нарушает его права.
7.5.В случае выявления недостоверных персональных данных субъекта или неправомерных действий оператора при обращении с ними по запросу субъекта персональных данных или его законного представителя, или уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту, с момента такого обращения.
7.6.В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней со дня такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий десяти рабочих дней со дня выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос был направлен уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
7.7.В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней от даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, договором или соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
7.8.При рассмотрении запросов субъектов персональных данных оператор руководствуется Порядком рассмотрения запросов субъектов персональных данных или их представителей в Министерстве юстиции Республики Дагестан (приложение N 8).
7.9.В случае отказа кандидата на замещение должности государственного гражданского служащего от предоставления своих персональных данных служебный контракт с ним не заключается. В случае отзыва согласия на обработку персональных данных государственным служащим Министерства служебный контракт с ним подлежит расторжению. Разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные реализуются в соответствии с рекомендуемой формой (приложение N 9).
7.10.Доступ гражданских служащих Министерства в помещения, в которых ведется обработка персональных данных, осуществляется согласно утвержденному Порядку доступа государственных гражданских служащих Министерства юстиции Республики Дагестан в помещения, в которых ведется обработка персональных данных (приложение N 10).
8.Порядок хранения персональных данных
8.1.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
8.2.Хранение персональных данных субъектов осуществляется на материальных носителях информации или в составе баз данных информационных систем персональных данных в соответствующих структурных подразделениях Министерства с соблюдением предусмотренных законодательством Российской Федерации мер по защите персональных данных.
8.3.Структурные подразделения Министерства, хранящие персональные данные на материальных носителях, обеспечивают их защиту от несанкционированных доступа и копирования в соответствии с постановлением Правительства Российской Федерации 15.09.2008 N 687 "Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
8.4.Структурные подразделения Министерства, хранящие персональные данные в информационных системах персональных данных, обеспечивают их защиту в соответствии с требованиями, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
9.Правила работы с обезличенными данными
9.1.Перечень должностей государственных гражданских служащих Министерства юстиции Республики Дагестан, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (приложение N 11), утверждается Министром.
9.2.Обезличенные персональные данные могут обрабатываться как с использованием, так и без использования средств автоматизации.
9.3.При обработке обезличенных персональных данных с использованием средств автоматизации:
используются средства технической защиты ИСПДн;
используются лицензионные антивирусные программы;
соблюдается Порядок доступа государственных гражданских служащих Министерства юстиции Республики Дагестан в помещения, в которых ведется обработка персональных данных.
9.4.При обработке обезличенных персональных данных без использования средств автоматизации:
бумажные носители хранятся в условиях, исключающих доступ к ним посторонних лиц;
соблюдается Порядок доступа гражданских служащих Министерства юстиции Республики Дагестан в помещения, в которых ведется обработка персональных данных.
10.Ответственность за нарушение норм, регулирующих обработку персональных данных
10.1.Государственные служащие Министерства, виновные в нарушении требований законодательства в сфере обработки персональных данных, привлекаются к ответственности в соответствии со статьями 13.12 -13.14 Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ и статьей 137 Уголовного кодекса Российской Федерации от 13.06.1996 N 63-ФЗ.
11.Порядок внутреннего контроля обработки персональных данных
11.1.В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям ежегодно проводятся периодические проверки условий обработки персональных данных в Министерстве. Проверки осуществляются ответственным за организацию обработки персональных данных в Министерстве либо комиссией, состав которой определяется Министром. При проведении проверки соответствия обработки персональных данных установленным требованиям определяются:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учета машинных носителей персональных данных; соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
мероприятия по восстановлению персональных данных, измененных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
Результаты проверки оформляются в виде письменного заключения, утверждаются председателем комиссии. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, Министру докладывает ответственный за организацию обработки персональных данных либо председатель комиссии.
11.2.Контроль выполнения требований по технической защите персональных данных при их обработке в информационных системах персональных данных организуется и проводится оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года.
11.3.Ответственный за обработку персональных данных организует ознакомление государственных гражданских служащих Министерства, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальными нормативно-правовыми актами Министерства по вопросам обработки персональных данных и их защиты.
Приложения
2014-01-10
Приложение к Приказу от 10 января 2014 года №№ 01/1-ОД, 2798 Инструкция
Должностная инструкция ответственного за организацию обработки персональных данных в министерстве юстиции республики дагестан