Приказ Госстроя РБ от 31.12.2014 N 380 "Об утверждении правил работы с персональными данными в Государственном комитете Республики Башкортостан по строительству и архитектуре"
Зарегистрировано в Государственном комитете РБ по делам юстиции 4 марта 2015 г. № 6171
-----------------------------------------------------------------------------
ГОСУДАРСТВЕННЫЙ КОМИТЕТ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
ПРИКАЗ
от 31 декабря 2014 г. № 380
ОБ УТВЕРЖДЕНИИ ПРАВИЛ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
В ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить:
1) Правила обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре согласно приложению № 1 к настоящему Приказу;
2) Правила рассмотрения запросов субъектов персональных данных или их представителей в Государственном комитете Республики Башкортостан по строительству и архитектуре согласно приложению № 2 к настоящему Приказу;
3) Перечень информационных систем персональных данных, используемых в Государственном комитете Республики Башкортостан по строительству и архитектуре, согласно приложению № 3 к настоящему Приказу;
4) Перечень персональных данных, обрабатываемых в Государственном комитете Республики Башкортостан по строительству и архитектуре, согласно приложению № 4 к настоящему Приказу;
5) Типовую форму согласия на обработку персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре согласно приложению № 5 к настоящему Приказу;
6) Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению № 6 к настоящему Приказу;
7) Типовую форму обязательства государственного гражданского служащего Республики Башкортостан в Государственном комитете Республики Башкортостан по строительству и архитектуре, непосредственно осуществляющего обработку персональных данных, о прекращении обработки персональных данных в случае расторжения служебного контракта согласно приложению № 7 к настоящему Приказу;
8) Порядок доступа сотрудников Государственного комитета Республики Башкортостан по строительству и архитектуре в помещения, в которых ведется обработка персональных данных согласно приложению № 8 к настоящему Приказу;
9) Должностные обязанности государственного гражданского служащего Республики Башкортостан, замещающего должность государственной гражданской службы Республики Башкортостан в Государственном комитете Республики Башкортостан по строительству и архитектуре, назначенного ответственным за организацию обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре, согласно приложению № 9 к настоящему Приказу.
2. Контроль за исполнением настоящего Приказа оставляю за собой.
Председатель
Х.М.МАХМУДОВ
Приложение № 1
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 380
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННОМ
КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН ПО
СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
I. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящие правила обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре (далее - Правила) устанавливают единый порядок обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре (далее - Госстрой РБ).
Основанием для разработки настоящих Правил являются: Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Федеральный закон от 2 мая 2006 года № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон № 59-ФЗ), Федеральный закон от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Федеральный закон № 149-ФЗ), Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), Федеральный закон от 9 февраля 2009 года № 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" (далее - Федеральный закон № 8-ФЗ), Указ Президента Российской Федерации от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера", Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Постановление № 687), Постановление Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (далее - Постановление № 211), Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление № 1119), Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка), утвержденная заместителем директора Федеральной службы по техническому и экспортному контролю 15 февраля 2008 года.
II. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Для целей настоящих Правил применяются следующие термины и определения:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных;
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральным законодательством не распространяется требование соблюдения конфиденциальности;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
III. ОСНОВНЫЕ ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется на основе следующих принципов:
1) обработка персональных данных должна осуществляться на законной и справедливой основе;
2) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
3) обработке подлежат только персональные данные, которые отвечают целям их обработки;
4) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
5) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Госстрой РБ должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
3.2. В целях обеспечения прав и свобод человека и гражданина Госстрой РБ и его представители при обработке персональных данных должны обеспечить соблюдение следующих общих условий:
1) обработка персональных данных может осуществляться исключительно в целях решения вопросов, входящих в компетенцию Госстроя РБ, в соответствии с законодательством Российской Федерации в области персональных данных;
2) все персональные данные субъекта персональных данных следует получать у него самого или у его полномочного представителя. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
3) Госстрой РБ не имеет права получать и обрабатывать персональные данные субъекта персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;
4) Госстрой РБ не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законодательством;
5) сотрудники, допущенные к работе с персональными данными, должны быть ознакомлены под личную подпись с документами Госстроя РБ, устанавливающими порядок обработки персональных данных субъектов персональных данных, а также об их правах и обязанностях в этой области. Также они обязаны подать в Госстрой РБ письменное обязательство о неразглашении персональных данных и прекращении их обработки в связи с прекращением трудовых отношений;
6) обработку биометрических персональных данных производить в соответствии с требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
IV. МЕРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ
НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Госстрой РБ при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
4.3. Обеспечение безопасности персональных данных субъектов персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.4. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона № 152-ФЗ.
4.5. Выбор средств защиты информации для системы защиты персональных данных осуществляется Госстроем РБ в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона № 152-ФЗ.
4.6. Для обеспечения безопасности персональных данных при неавтоматизированной обработке предпринимаются следующие меры:
1) определяются места хранения персональных данных, которые оснащаются сейфами, шкафами, стеллажами. Дополнительно кабинеты, в которых осуществляется хранение носители персональных данных, оборудуются замками, системами контроля доступа и охранной сигнализацией;
2) все действия по неавтоматизированной обработке персональных данных осуществляются только должностными лицами, определенными Приказом Госстроя РБ, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции. Перечень должностей сотрудников Госстроя РБ предусматривает замещение указанных должностей сотрудников Госстроя РБ в соответствии с подпунктом "б" пункта 1 Постановления № 211;
3) при обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели, обработки которых заведомо не совместимы.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных, осуществляется копирование подлежащих распространению или использованию способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
Персональные данные, содержащиеся на материальных носителях, уничтожаются по Акту об уничтожении персональных данных.
Эти правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
4) обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением № 687.
4.7. Для обеспечения безопасности персональных данных при автоматизированной обработке предпринимаются следующие меры:
1) все действия при автоматизированной обработке персональных данных осуществляются только должностными лицами, определенными приказом Госстроя РБ, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции. Перечень должностей сотрудников Госстроя РБ предусматривает замещение указанных должностей сотрудников Госстроя РБ в соответствии с подпунктом "б" пункта 1 Постановления № 211;
2) персональные компьютеры, имеющие доступ к базам хранения персональных данных, защищаются паролями доступа. Пароли устанавливаются администратором системы технической защиты персональных данных и сообщаются индивидуально сотруднику Госстроя РБ, допущенному к работе с персональными данными и осуществляющему обработку персональных данных на данном персональном компьютере;
3) иные меры, предусмотренные федеральным законодательством и нормативными правовыми актами.
4.8. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением № 1119.
4.9. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения в соответствии с приказами по архивному делу, если иное не определено законодательством Российской Федерации.
V. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Получение персональных данных преимущественно осуществляется путем представления их самим субъектом персональных данных, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации.
В случаях, предусмотренных федеральным законодательством, обработка персональных данных осуществляется только с согласия субъекта персональных данных в письменной форме. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии Федеральным законом от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи".
5.2. В случае необходимости проверки персональных данных Госстрой РБ заблаговременно должен сообщить об этом субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
5.3. Обработка персональных данных осуществляется смешанным путем:
неавтоматизированным способом обработки персональных данных;
автоматизированным способом обработки персональных данных (с помощью персональных электронно-вычислительных машин и специальных программных продуктов).
5.4. Персональные данные субъектов персональных данных хранятся на бумажных носителях и в электронном виде.
5.5. Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.6. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных пунктом 5.7 настоящих Правил.
5.7. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
5.8. Госстрой РБ обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
5.9. Госстрой РБ обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъект персональных данных о результатах рассмотрения такого возражения.
5.10. Госстрой РБ вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия соответствующего акта (далее - поручение Госстроя РБ). Лицо, осуществляющее обработку персональных данных по поручению Госстроя РБ, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. В поручении Госстроя РБ должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ.
5.11. Лицо, осуществляющее обработку персональных данных по поручению Госстроя РБ, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
5.12. В случае, если Госстрой РБ поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Госстрой РБ. Лицо, осуществляющее обработку персональных данных по поручению Госстроя РБ, несет ответственность перед Госстроем РБ.
5.13. Обеспечивается ограничение доступа к персональным данным субъектов персональных данных лицам, не уполномоченным Федеральным законодательством либо Госстроем РБ для получения соответствующих сведений.
5.14. Доступ к персональным данным имеют сотрудники Госстроя РБ, допущенные приказом Госстроя РБ к работе с персональными данными. В должностные инструкции данных сотрудников включается пункт об обязанности сохранения информации, являющейся конфиденциальной.
VI. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных в информационных системах персональных данных осуществляется в соответствии с требованиями Постановления № 1119, нормативных правовых актов уполномоченных федеральных органов исполнительной власти.
6.1. При эксплуатации автоматизированных систем необходимо соблюдать следующие требования:
1) на компьютерах, дисках, на которых обрабатываются и хранятся персональные данные, должны быть установлены пароли;
2) на период обработки защищаемой информации на рабочем месте с доступом к персональным данным могут находиться лица, допущенные в установленном порядке к обрабатываемой информации. Допуск других лиц может осуществляться с разрешения руководителя структурного подразделения Госстроя РБ.
6.2. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации:
1) при отсутствии установленных и настроенных сертифицированных средств защиты информации;
2) при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.
VII. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЗ
ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
7.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) должна осуществляться в соответствии с Постановлением № 687.
7.2. В соответствии с пунктом 1 Постановления № 687 обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
7.3. При осуществлении неавтоматизированной обработки необходимо соблюдать следующий порядок:
1) все действия по неавтоматизированной обработке персональных данных субъектов персональных данных осуществляются только должностными лицами, определенными Приказом Госстроя РБ, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции;
2) при обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы;
3) уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными;
4) персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).
7.4. Материальные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
7.5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных, осуществляется копирование подлежащих распространению или использованию персональных данных способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
7.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
7.7. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
VIII. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ОБРАБАТЫВАЕМЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Сроки обработки и хранения персональных данных субъектов персональных данных определяются Приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" и иными нормативными правовыми актами Российской Федерации и Республики Башкортостан.
8.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.
IX. ОБЩИЕ ПРАВИЛА ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПОЛЬЗОВАТЕЛЯМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Госстрой РБ при обработке персональных данных субъектов персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Все действия при автоматизированной обработке персональных данных субъектов персональных данных осуществляются только должностными лицами, определенными Приказом Госстроя РБ, и только в объеме, необходимом выше указанным лицам для выполнения своей трудовой функции.
9.3. Персональные компьютеры, имеющие доступ к базам хранения персональных данных субъектов персональных данных, защищаются паролями доступа. Пароли устанавливаются администратором системы технической защиты персональных данных и сообщаются индивидуально сотруднику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных субъекта персональных данных на данном персональном компьютере.
9.4. К основным правам и обязанностям пользователей информационной системы персональных данных относятся следующие:
1) пользователю информационной системы персональных данных разрешается выполнять на автоматизированном рабочем месте, входящем в состав информационной системы персональных данных, только задачи, соответствующие целям обработки персональных данных в данной информационной системе персональных данных и предусмотренные должностными обязанностями;
2) перед началом обработки на автоматизированном рабочем месте, входящем в состав информационной системы персональных данных, файлов, хранящихся на съемных носителях информации, пользователь информационной системы персональных данных должен осуществить проверку этих файлов на наличие компьютерных вирусов;
3) немедленно докладывать ответственному за организацию обработки персональных данных в Госстрое РБ и системы технической защиты персональных данных в Госстрое РБ о случаях вирусного заражения, сообщениях об ошибках операционной системы и средств защиты информации, а также уничтожении или искажении обрабатываемых в информационной системе персональных данных.
9.5. Пользователям информационной системы персональных данных запрещается:
1) записывать и хранить персональные данные на неучтенных носителях информации;
2) отключать (блокировать) средства защиты информации, входящие в состав системы защиты персональных данных;
3) производить какие-либо изменения в электрических схемах, монтаже и размещении автоматизированных рабочих мест, серверов и сетевого оборудования, входящих в состав информационной системы персональных данных;
4) самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
5) обрабатывать в информационной системе персональных данных информацию и выполнять другие работы, не предусмотренные должностными обязанностями;
6) работать на автоматизированном рабочем месте, входящем в состав информационной системы персональных данных, при обнаружении каких-либо неисправностей. В случае обнаружения неисправностей пользователь обязан сообщить ответственному за организацию обработки персональных данных в министерстве и администратору системы технической защиты персональных данных;
7) хранить носители информации вблизи сильных источников электромагнитных излучений и прямых солнечных лучей;
8) хранить на учтенных носителях информации программы и данные, не относящиеся к рабочей информации.
X. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Передача персональных данных субъектов персональных данных третьим лицам осуществляется Госстроем РБ только с письменного согласия субъекта персональных данных, с подтверждающей визой председателя Госстроя РБ, за исключением следующих случаев:
1) если передача необходима для защиты жизни и здоровья субъекта персональных данных либо других лиц, и получение его согласия невозможно;
2) получения запроса органов дознания, следствия, прокуратуры и суда в связи с проведением оперативно-розыскных мероприятий или судебным разбирательством, в соответствии с действующим законодательством Российской Федерации;
3) в иных случаях, прямо предусмотренных законодательством Российской Федерации.
10.2. Передача персональных данных субъекта персональных данных третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой председателя Госстроя РБ при условии соблюдения требований, предусмотренных пунктом 9.1 настоящих Правил.
10.3. Передача сведений и документов, содержащих персональные данные, осуществляется с согласия субъекта персональных данных. Согласие субъекта персональных данных оформляется письменно в виде отдельного документа. После получения согласия субъекта персональных данных дальнейшая передача указанных сведений и документов, дополнительного письменного согласия не требует и в журнале учета запросов персональных данных субъектов персональных данных по запросам третьих лиц не фиксируется.
В целях соблюдения Федерального законодательства и иных нормативных правовых актов Российской Федерации и обеспечения положений служебного контракта возможна передача без получения письменного согласия:
1) документов, содержащих сведения о доходах и налогах на доходы физических лиц, сведений о начисленных и уплаченных страховых взносах в соответствии с законодательством - в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации;
2) персональных данных сотрудников Госстроя РБ кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы в следующих случаях:
а) договор на выпуск банковской карты заключался напрямую с сотрудником и в тексте которого предусмотрены положения, предусматривающие передачу Госстроем РБ персональных данных сотрудника;
б) наличие у Госстроя РБ доверенности на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании.
Передача персональных данных осуществляется с обязательной отметкой в журнале учета выданных персональных данных субъектов персональных данных по запросам третьих лиц, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.
В случае, если лицо, обратившееся с запросом, не уполномочено Федеральным законодательством на получение персональных данных субъекта персональных данных, либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, Госстрой РБ обязан отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится в Госстрое РБ.
Передача персональных данных обрабатываемых с использованием информационных систем персональных данных допускается строго по защищенным каналам связи.
XI. ПОРЯДОК ПРОВЕДЕНИЯ ИНСТРУКТАЖА И ОБУЧЕНИЯ ПОЛЬЗОВАТЕЛЕЙ
ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Первичный инструктаж пользователя информационной системы персональных данных проводится ответственным за организацию обработки персональных данных при приеме государственного гражданского служащего Госстроя РБ на государственную гражданскую службу. Пользователь информационной системы персональных данных должен быть ознакомлен под роспись со следующими документами:
"Инструкция пользователя по обеспечению безопасности персональных данных";
"Типовое обязательство государственного гражданского служащего Республики Башкортостан в Государственном комитете Республики Башкортостан по строительству и архитектуре, непосредственно осуществляющего обработку персональных данных, о прекращении обработки персональных данных в случае расторжения служебного контракта".
XII. ОРГАНИЗАЦИЯ ПАРОЛЬНОЙ ЗАЩИТЫ УЧЕТНЫХ ЗАПИСЕЙ
ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
12.1. Каждому сотруднику Госстроя РБ допущенному к обработке персональных данных с использованием информационных систем персональных данных сопоставляется персональный идентификатор уникальный в рамках Госстроя РБ, под которым он будет регистрироваться и работать с информационными системами персональных данных. Персональный идентификатор состоит из имени и пароля пользователя. Некоторым сотрудникам Госстроя РБ в случае производственной необходимости может быть сопоставлено несколько уникальных идентификаторов. Использование несколькими сотрудниками Госстроя РБ при работе одного и того же идентификатора ("группового имени") запрещено.
12.2. Основные требования к организации парольной защиты учетных записей пользователей:
1) пароли учетных записей пользователей должны генерироваться либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:
а) длина пароля должна быть не менее 8 символов;
б) в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.), если это поддерживается информационной системой;
в) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования автоматического рабочего места и т.д.), а также общепринятые сокращения, имена пользователей, родственников, знаменательные даты;
2) при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.
12.3. Персональный идентификатор пользователь не имеет права сообщать никому.
12.4. Использование одинаковых паролей в различных персональных идентификаторах не допускается.
12.5. Запрещается хранить идентификаторы либо их части в общедоступных местах (на мониторе, системном блоке и т.д.).
12.6. В случае необходимости, доступ к персональной информации пользователя в его отсутствие осуществляется внеплановой сменой пароля пользователя ответственным за организацию обработки персональных данных в Госстрое РБ. Основанием для внеплановой смены пароля в этом случае является заявка руководителя структурного подразделения на имя ответственного за организацию обработки персональных данных. В заявке указываются:
фамилия имя отчество сотрудника Госстроя РБ;
причина внеплановой смены.
12.7. При необходимости оставить рабочее место пользователь обязан заблокировать консоль рабочей станции информационной системы.
12.8. Плановая смена пароля должна проводиться пользователями регулярно, не реже одного раза в месяц.
12.9. Внеплановая смена пароля или блокировка персонального идентификатора пользователя информационной системы в случае прекращения его полномочий должна производиться немедленно после подписания соответствующего приказа.
12.10. В случае компрометации пароля владелец персонального идентификатора должен немедленно сменить пароль и письменно уведомить своего руководителя и ответственного за организацию обработки персональных данных о факте компрометации.
12.11. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на руководителей структурных подразделений.
XIII. ДОПОЛНИТЕЛЬНЫЕ ПРАВИЛА ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ
13.1. Если подсистемы информационной системы обладают соответствующими возможностями, то они настраиваются согласно требованиям настоящих Правил перечисленным ниже рекомендациям:
принудительная смена пароля с периодом 60 дней;
принудительная проверка сложности пароля должна быть включена;
ведение истории не менее 5 последних паролей пользователя;
принудительная централизованная настройка рабочих мест пользователей на использование блокировки персонального компьютера экранной заставкой по истечении 10 минут неактивного состояния.
XIV. ПРАВИЛА АНТИВИРУСНОЙ ЗАЩИТЫ
14.1. Антивирусное программное обеспечение должно функционировать в режиме непрерывного фонового сканирования программ и файлов на рабочей станции пользователя и на серверах. Обо всех случаях сбоев антивирусного программного обеспечения (появления сообщений об ошибках) пользователь должен немедленно уведомлять ответственного за организацию обработки персональных данных в Госстрое РБ и сотрудников сектора информационной технологии и коммуникаций.
14.2. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.).
14.3. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
14.4. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль.
14.5. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено ответственным за организацию обработки персональных данных в Госстрое РБ и администратором системы технической защиты персональных данных на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера (локальной вычислительной сети) должна быть выполнена антивирусная проверка.
14.6. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник Госстроя РБ должен самостоятельно провести внеочередной антивирусный контроль своей рабочей станции. При необходимости сотрудник Госстроя РБ привлекает сотрудников сектора информационных технологий и коммуникаций для определения ими факта наличия или отсутствия компьютерного вируса, его устранения и ликвидации последствий вирусной активности.
XV. ПОРЯДОК УНИЧТОЖЕНИЯ ОБРАБОТАННЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
15.1. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
При уничтожении персональных данных заполняется акт об уничтожении персональных данных согласно приложению к настоящим Правилам.
Приложение
к Правилам обработки персональных
данных в Государственном комитете
Республики Башкортостан
по строительству и архитектуре
Типовая форма
Акт об уничтожении персональных данных
Комиссия по организации информационной безопасности и защите персональных данных, обрабатываемых в Государственном комитете Республики Башкортостан по строительству и архитектуре, провела отбор носителей персональных данных и установила, что в соответствии с требованиями руководящих документов по защите информации, информация, записанная на них в процессе эксплуатации, подлежит уничтожению:
№ п/п
Дата
Тип носителя
Регистрационный номер носителя персональных данных
Примечание
Всего подлежит уничтожению носителей: _____________________________________.
(цифрами и прописью)
После утверждения Акта перечисленные носители сверены с записями в
акте и на указанных носителях персональные данные уничтожены путем: _______
___________________________________________________________________________
(стирания на устройстве гарантированного уничтожения информации и т.п.)
После утверждения Акта перечисленные носители сверены с записями в
акте и уничтожены путем: __________________________________________________
(разрезания, сжигания, механического уничтожения,
сдачи предприятию по утилизации вторичного
сырья и т.п.)
Уничтоженные носители с книг и журналов учета списаны.
Члены комиссии: __________________/____________
__________________/____________
__________________/____________
__________________/____________
__________________/____________
Примечание:
1. Акт составляется раздельно на каждый способ уничтожения носителей.
2. Все листы Акта, а также все произведенные исправления и дополнения в Акте заверяются подписями всех членов комиссии.
Приложение № 2
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ В ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ
БАШКОРТОСТАН ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
I. ОБЩАЯ ЧАСТЬ
1.1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Государственном комитете Республики Башкортостан по строительству и архитектуре (далее - Правила) разработаны в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (далее - Постановление № 211) и другими нормативными правовыми актами.
1.2. Настоящими Правилами определяются порядок учета, сроки, а также последовательность действий рассмотрения запросов субъектов персональных данных или их законных представителей (далее - запросы).
II. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Государственным комитетом Республики Башкортостан по строительству и архитектуре (далее - Госстрой РБ);
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Госстроем РБ способы обработки персональных данных;
4) наименование и место нахождения Госстроя РБ, сведения о лицах (за исключением сотрудников Госстроя РБ), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Госстроем РБ или на основании Федерального закона № 152-ФЗ;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование и адрес организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Госстроя РБ, если обработка поручена или будет поручена такому лицу;
10) иные сведения, прямо предусмотренные законодательством Российской Федерации.
2.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральным законодательством, в том числе если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
2.3. Субъект персональных данных вправе требовать от Госстроя РБ уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
III. ПОРЯДОК РАБОТЫ С ОБРАЩЕНИЯМИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ
ДАННЫХ ИЛИ ИХ ЗАКОННЫХ ПРЕДСТАВИТЕЛЕЙ
3.1. Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3.2. Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, предоставляются субъекту персональных данных или его законному представителю Госстроем РБ при обращении либо при получении запроса (приложение № 1 к настоящим Правилам) субъекта персональных данных или его законного представителя.
3.3. Рассмотрение запросов является служебной обязанностью сотрудников Госстроя РБ, допущенных к обработке персональных данных приказом Госстроя РБ.
3.4. Должностные лица Госстроя РБ обеспечивают:
- объективное, всестороннее и своевременное рассмотрение запроса;
- принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
- направление письменных ответов по существу запроса.
3.5. Все поступившие запросы регистрируются в день их поступления в журнале учета запросов и обращений субъектов персональных данных (приложение № 2 к настоящим Правилам).
3.6. Госстрой РБ обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
3.7. Госстрой РБ обязан сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя в течение тридцати дней с даты получения запроса субъекта персональных данных или его законного представителя.
3.8. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных Госстрой РБ обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3.9. Госстрой РБ обязан предоставить безвозмездно субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
3.10. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Госстрой РБ обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Госстроем РБ и субъектом персональных данных, либо если Госстрой РБ не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством.
3.11. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя либо по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, уполномоченные должностные лица Госстроя РБ обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
3.12. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его законного представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица Госстроя РБ обязаны осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
3.13. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица Госстроя РБ обязаны внести в них необходимые изменения.
3.14. Госстрой РБ обязан уведомить субъекта персональных данных или его законного представителя о внесенных изменениях и предпринятых мерах, а также принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.15. В случае выявления неправомерной обработки персональных данных уполномоченные должностные лица Госстроя РБ в срок, не превышающий трех рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, уполномоченные должностные лица Госстроя РБ в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение.
3.16. Об устранении допущенных нарушений или об уничтожении персональных данных Госстрой РБ обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение субъекта персональных данных или его законного представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
3.17. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 3.10 и 3.15, Госстрой РБ осуществляет блокирование или обеспечивает блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен действующим законодательством.
3.18. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
3.19. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения сотрудником Госстроя РБ действия (бездействия), содержащего признаки административного правонарушения или состава преступления, информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются председателю Госстроя РБ.
3.20. Начальник отдела организационной работы и управления персоналом Госстроя РБ осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов субъектов персональных данных или их законных представителей.
3.21. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.
Приложение № 1
к Правилам рассмотрения запросов
субъектов персональных данных
или их представителей в
Государственном комитете
Республики Башкортостан
по строительству и архитектуре
Типовая форма запроса
Председателю
Государственного комитета
Республики Башкортостан
по строительству и архитектуре
_________________________________
(Ф.И.О. заявителя)
адрес: __________________________
документ,
удостоверяющий личность _________
серия ______ номер ______________
выдан ___________________________
ЗАПРОС
В связи с _____________________________________________________________
(обоснование причин)
на основании ч.ч. 3 и 7 ст. 14, ст. 18, ч. 1 ст. 20 Федерального
закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" прошу
предоставить следующую информацию, касающуюся обработки персональных
данных:
___________________________________________________________________________
(существо запроса с учетом ч. 7 ст. 14 Федерального закона от 27.07.2006
№ 152-ФЗ "О персональных данных")
___________________________________________________________________________
___________________________________________________________________________
В случае отсутствия такой информации прошу Вас уведомить меня об этом.
Информацию прошу представить в следующем порядке
________________________.
_______________________ ________________________
(подпись) (Ф.И.О.)
"__" _________ 20__ г.
Приложение № 2
к Правилам рассмотрения запросов
субъектов персональных данных
или их представителей в
Государственном комитете
Республики Башкортостан
по строительству и архитектуре
ЖУРНАЛ
учета запросов и обращений субъектов персональных данных и
их законных представителей по вопросам обработки
персональных данных в государственном комитете Республики
Башкортостан по строительству и архитектуре
Начат "__" ________ 20__ г.
Окончен "__" ________ 20__ г.
№ п/п
Дата, № и реквизиты запроса
Запрашивающее лицо
Состав запрашиваемых данных
Требуемая информация и цель ее получения
Отметка о предоставлении или отказе в предоставлении информации
Дата передачи отказа в предоставлении информации
Причина отказа
Подпись запрашивающего лица
Подпись ответственного сотрудника
Место хранения информации
1
2
3
4
5
6
7
8
9
10
11
Приложение № 3
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИСПОЛЬЗУЕМЫХ В
ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН ПО
СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
№ п/п
Наименование ИСПДн <*>
Цель создания ИСПДн (цель обработки ПДн <**>)
Разработчик ИСПДн
Исходные данные ИСПДн
Тип актуальных угроз
Уровень защищенности
1
2
3
4
5
6
7
1.
1С: Зарплата и Кадры
Автоматизация расчета заработной платы и кадрового учета сотрудников Госстроя РБ
ООО "1С", г. Москва
Перечень ПДн:
ФИО, паспортные данные, ИНН, табельный номер, СНИЛС, сведения о заработной плате. Категория ПДн:
Иные.
Субъекты ПДн: сотрудники.
Объем обрабатываемых персональных данных:
до 100000 субъектов. Тип ИСПДн:
ИСПДн-И, обрабатываются иные категории ПДн.
Структура информационной системы:
автоматизированное рабочее место.
Режим обработки персональных данных в информационной системе: однопользовательский. Подключение к сетям международного информационного обмена (Интернет): информационная система относится к системам, не имеющим подключения. Разграничение прав доступа пользователей: без разграничения прав доступа. Местонахождение ИСПДн:
в пределах Российской Федерации
3
4
2.
СПУ ОРБ
Формирование документов индивидуального (персонифицированного) учета по сотрудникам Госстроя РБ
ГУ ОПРФ по Республике Коми
Перечень ПДн:
ФИО, паспортные данные, ИНН, табельный номер, СНИЛС, сведения о заработной плате. Категория ПДн:
Иные.
Субъекты ПДн:
сотрудники.
Объем обрабатываемых персональных данных: до 100000 субъектов. Тип ИСПДн:
ИСПДн-И обрабатывает иные категории ПДн. Структура информационной системы: автоматизированное рабочее место.
Режим обработки персональных данных в информационной системе: однопользовательский. Подключение к сетям международного информационного обмена (Интернет): информационная система относится к системам, не имеющим подключения.
Разграничение прав доступа пользователей: без разграничения прав доступа. Местонахождение ИСПДн:
в пределах Российской Федерации
3.
Налогоплательщик
Формирование базы налоговых вычетов физических лиц, с последующей передачей в налоговые органы
ФГУП ГРИВЦ ФНС России
Перечень ПДн:
ФИО, паспортные данные, ИНН, табельный номер, СНИЛС, сведения о заработной плате. Категория ПДн:
Иные.
Субъекты ПДн: сотрудники.
Объем обрабатываемых персональных данных: до 100000 субъектов. Тип ИСПДн:
ИСПДн-И обрабатывает иные категории ПДн. Структура информационной системы:
автоматизированное рабочее место.
Режим обработки персональных данных в информационной системе: однопользовательский. Подключение к сетям международного информационного обмена (Интернет): информационная система относится к системам, не имеющим подключения. Разграничение прав доступа пользователей: без разграничения прав доступа.
ИСПДн:
в пределах Российской Федерации
3
4
4.
Документы по сотрудникам Госстроя РБ (MS Office)
Обработка, хранение персональных данных сотрудников Госстроя РБ
Госстрой РБ
Перечень ПДн:
ФИО, паспортные данные, ИНН, табельный номер, СНИЛС.
Категория ПДн:
Иные.
Субъекты ПДн: Сотрудники Госстроя РБ.
Объем обрабатываемых персональных данных: до 100000 субъектов. Тип ИСПДн:
ИСПДн-И обрабатывает иные категории ПДн. Структура информационной системы: автоматизированное рабочее место.
Режим обработки персональных данных в информационной системе: однопользовательский. Подключение к сетям международного информационного обмена (Интернет): информационная система относится к системам, не имеющим подключения. Разграничение прав доступа пользователей: без разграничения прав доступа. Местонахождение ИСПДн:
в пределах Российской Федерации
3
4
5.
Документы по гражданам (MS Office)
Обработка, хранение персональных данных граждан, обратившихся в Госстрой РБ
Госстрой РБ
Перечень ПДн:
ФИО, паспортные данные, ИНН, СНИЛС, состав семьи.
Категория ПДн:
Иные.
Субъекты ПДн:
граждане.
Объем обрабатываемых персональных данных: до 100000 субъектов. Тип ИСПДн:
ИСПДн-И обрабатывает иные категории ПДн. Структура информационной системы: автоматизированное рабочее место.
Режим обработки персональных данных в информационной системе: однопользовательский. Подключение к сетям международного информационного обмена (Интернет): информационная система относится к системам, не имеющим подключения. Разграничение прав доступа пользователей: без разграничения прав доступа. Местонахождение ИСПДн:
в пределах Российской Федерации
6.
АИС ПВГО
Оформление государственных жилищных сертификатов
Перечень ПДн:
ФИО, паспортные данные.
Категория ПДн:
Иные.
Субъекты ПДн:
граждане.
Объем обрабатываемых персональных данных: до 100000 субъектов. Тип ИСПДн:
ИСПДн-И обрабатывает иные категории ПДн. Структура информационной системы: распределенная информационная система.
Режим обработки персональных данных в информационной системе: однопользовательский. Подключение к сетям международного информационного обмена (Интернет): информационная система относится к системам, имеющим подключение. Разграничение прав доступа пользователей: без разграничения прав доступа. Местонахождение ИСПДн:
в пределах Российской Федерации
3
4
--------------------------------
<*> ИСПДн - Информационная система персональных данных.
<*> ПДн - Персональные данные.
Приложение № 4
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ГОСУДАРСТВЕННОМ
КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН ПО СТРОИТЕЛЬСТВУ
И АРХИТЕКТУРЕ
№ п/п
Основания для обработки
Содержание сведений
Категории субъектов
1
2
3
4
1
Глава 14 Трудового кодекса РФ
2. Федеральный закон от 27 июля 2004 года № 79-ФЗ "О государственной гражданской службе РФ"
фамилия, имя, отчество;
паспортные данные;
дата и место рождения;
гражданство;
адрес места жительства;
сведения о воинском учете;
семейное положение;
сведения о составе семьи;
сведения о детях;
контактный номер телефона;
сведения об образовании;
профессия (специальность);
должность;
сведения о повышении квалификации; сведения о доходах;
сведения о состоянии здоровья;
сведения о социальных льготах; сведения, содержащиеся в полисе обязательного медицинского страхования;
сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН);
сведения, содержащиеся в страховом свидетельстве государственного пенсионного страхования (СНИЛС); биометрические персональные данные (копия паспорта с фотографией)
Сотрудники Госстроя РБ
2
Положение о Государственном комитете Республики Башкортостан по строительству и архитектуре (утверждено Постановлением Правительства Республики Башкортостан от 23 апреля 2013 года № 162)
фамилия, имя, отчество;
паспортные данные;
дата и место рождения;
имущественное положение;
сведения о составе семьи;
сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН);
сведения, содержащиеся в страховом свидетельстве государственного пенсионного страхования (СНИЛС)
Граждане
Приложение № 5
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
Типовая форма согласия
на обработку персональных данных в государственном комитете
Республики Башкортостан по строительству и архитектуре
Я, нижеподписавшийся ______________________________________________________
(Ф.И.О. полностью)
зарегистрированный по адресу: _____________________________________________
__________________________________________________________________________,
проживающий по адресу: ___________________________________________________,
документ, удостоверяющий личность __________ серия ________ номер ________,
выдан _____________________________________________________________________
(дата и название выдавшего органа)
своей волей и в своем интересе подтверждаю свое согласие на обработку
Государственным комитетом Республики Башкортостан по строительству и
архитектуре (далее - Госстрой РБ), расположенному по адресу: 450008, г.
Уфа, ул. Советская, 18, моих персональных данных.
Цель обработки персональных данных: оформление трудовых отношений, расчет и выдача заработной платы или других доходов, налоговых и пенсионных отчислений, содействие в трудоустройстве, обучении, повышении квалификации и продвижении по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества Госстроя РБ.
Перечень персональных данных, на обработку которых дано настоящее согласие:
- фамилия, имя, отчество;
- паспортные данные;
- дата и место рождения;
- гражданство;
- адрес места жительства;
- сведения о воинском учете;
- семейное положение;
- сведения о составе семьи;
- сведения о детях;
- контактный номер телефона;
- сведения об образовании;
- профессия (специальность);
- должность;
- сведения о повышении квалификации;
- сведения о доходах;
- сведения о состоянии здоровья (относящиеся к вопросам о возможности выполнения трудовой функции);
- сведения о социальных льготах;
- сведения, содержащиеся в полисе обязательного медицинского страхования;
- сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН);
- сведения, содержащиеся в страховом свидетельстве государственного пенсионного страхования (СНИЛС).
Перечень действий с персональными данными, на совершение которых дается согласие <*>: обработка персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способы обработки персональных данных: на бумажных носителях; в информационных системах персональных данных с использованием и без использования средств автоматизации, а также смешанным способом; при участии и при непосредственном участии человека.
Срок, в течение которого действует согласие: до достижения цели обработки персональных данных или до момента утраты необходимости в их достижении, если иное не предусмотрено федеральным законодательством.
Настоящее согласие может быть отозвано мной путем подачи в Госстрой РБ письменного заявления об отзыве согласия.
Подтверждаю, что я ознакомлен с Положением о защите персональных данных работников Государственного комитета Республики Башкортостан по строительству и архитектуре, права и обязанности в области защиты персональных данных мне разъяснены.
"__" __________ 20__ г. ____________ ________________________________
(подпись) (расшифровка подписи работника)
--------------------------------
<*> Если распространение (в том числе передача) информации о персональных данных производится в непредусмотренных Федеральным законодательством случаях обязательного предоставления субъектом персональных данных своих персональных данных, работодатель (оператор) обязан запросить письменное согласие работника в каждом отдельном случае.
Приложение № 6
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
Типовая форма
разъяснения субъекту персональных данных
юридических последствий отказа предоставить свои
персональные данные
Мне, ______________________________________________________________________
(фамилия, имя, отчество)
разъяснены юридические последствия отказа предоставить свои персональные
данные Государственному комитету Республики Башкортостан по строительству и
архитектуре.
В соответствии со статьями 26, 42 Федерального закона от 27 июля 2004 года № 79-ФЗ "О государственной гражданской службе Российской Федерации", Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 года № 609, определен перечень персональных данных, которые субъект персональных данных обязан предоставить Государственному комитету Республики Башкортостан по строительству и архитектуре в связи с поступлением или прохождением государственной гражданской службы.
Без представления субъектом персональных данных обязательных для заключения служебного контракта сведений служебный контракт не может быть заключен.
На основании пункта 11 части 1 статьи 33 Федерального закона от 27 июля 2004 года № 79-ФЗ "О государственной гражданской службе Российской Федерации" служебный контракт прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность замещения должности гражданской службы.
"__" ________ 20__ г. __________________ _______________________
(подпись) (расшифровка подписи)
Приложение № 7
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
Типовая форма
обязательства государственного гражданского служащего
Республики Башкортостан в Государственном комитете
Республики Башкортостан по строительству и архитектуре,
непосредственно осуществляющего обработку персональных
данных, о прекращении обработки персональных данных в
случае расторжения служебного контракта
Я, ____________________________________________________________________
(фамилия, имя, отчество)
___________________________________________________________________________
(должность)
обязуюсь прекратить обработку персональных данных, ставших известными мне в
связи с исполнением должностных обязанностей, в случае расторжения со мной
служебного контракта, освобождения меня от замещаемой должности и
увольнения с государственной гражданской службы.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией, и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставших известными мне в связи с исполнением должностных обязанностей.
Ответственность, предусмотренная Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" и другими федеральными законами, мне разъяснена.
"__" _______ 20__ г. _____________ __________________________
(подпись) (расшифровка подписи)
Приложение № 8
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
ПОРЯДОК
ДОСТУПА СОТРУДНИКОВ ГОСУДАРСТВЕННОГО КОМИТЕТА РЕСПУБЛИКИ
БАШКОРТОСТАН ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ В ПОМЕЩЕНИЯ, В
КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении, в котором осуществляется обработка персональных данных.
2. Все сотрудники Государственного комитета Республики Башкортостан по строительству и архитектуре (далее - Госстрой РБ), постоянно работающие в помещениях, в которых ведется обработка персональных данных, должны быть допущены к работе с соответствующими видами персональных данных.
3. В помещениях Госстроя РБ применяются административные, технические, физические и процедурные меры, направленные для защиты данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных. К указанным мерам относятся:
а) физические меры защиты: двери, снабженные замками, сейфы и безопасное уничтожение носителей, содержащих персональные данные;
б) технические меры защиты: применение антивирусных программ, программ защиты, установление парольной защиты на персональных компьютерах;
в) административные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты;
г) процедурные меры защиты: разделение обязанностей пользователей информационной системы персональных данных, разграничение доступа, минимизация привилегий.
Приложение № 9
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ
ГОСУДАРСТВЕННОГО ГРАЖДАНСКОГО СЛУЖАЩЕГО РЕСПУБЛИКИ
БАШКОРТОСТАН, ЗАМЕЩАЮЩЕГО ДОЛЖНОСТЬ ГОСУДАРСТВЕННОЙ
ГРАЖДАНСКОЙ СЛУЖБЫ РЕСПУБЛИКИ БАШКОРТОСТАН В
ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН ПО
СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ, НАЗНАЧЕННОГО ОТВЕТСТВЕННЫМ ЗА
ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННОМ
КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН ПО СТРОИТЕЛЬСТВУ
И АРХИТЕКТУРЕ
1. Ответственный за организацию обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре персональных данных (далее - Госстрой РБ), назначаемый приказом Госстроя РБ, в своей деятельности руководствуется: Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", Федеральным законом от 2 мая 2006 года № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", политикой безопасности персональных данных, утверждаемой приказом Госстроя РБ, правилами обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре, утверждаемыми приказом Госстроя РБ, настоящими Должностными обязанностями.
2. Ответственный за организацию обработки персональных данных в Госстрое РБ обязан:
- определить порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- анализировать эффективность применения мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- контролировать состояние учета машинных носителей персональных данных;
- проверять соблюдение правил доступа к персональным данным в Госстрое
РБ;
- контролировать проведение мероприятий в Госстрое РБ по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
3. Ответственный за организацию обработки персональных данных в Госстрое РБ имеет право:
- требовать от сотрудников Госстроя РБ, допущенных к обработке персональных данных в Госстрое РБ, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- применять меры по приостановлению или прекращению обработки персональных данных в Госстрое РБ, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить председателю Госстроя РБ предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке в Госстрое РБ;
- предоставлять субъекту персональных данных либо его представителю по запросу информацию об обработке его персональных данных в Госстрое РБ;
- осуществлять внутренний текущий контроль за соблюдением требований законодательства Российской Федерации и правилами обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре, утвержденными приказом Госстроя РБ, при обработке персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения лиц, допущенных к обработке персональных данных, положения федерального законодательства Российской Федерации о персональных данных, нормативных правовых актов Госстроя РБ по вопросам обработки персональных данных;
- получать от сотрудников Госстроя РБ, допущенных к работе с персональными данными, обязательство сотрудника Госстроя РБ, непосредственно осуществляющего обработку персональных данных, о прекращении обработки персональных данных в случае расторжения служебного контракта.
------------------------------------------------------------------
Зарегистрировано в Государственном комитете РБ по делам юстиции 4 марта 2015 г. № 6171
-----------------------------------------------------------------------------
ГОСУДАРСТВЕННЫЙ КОМИТЕТ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
ПРИКАЗ
от 31 декабря 2014 г. № 380
ОБ УТВЕРЖДЕНИИ ПРАВИЛ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
В ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить:
1) Правила обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре согласно приложению № 1 к настоящему Приказу;
2) Правила рассмотрения запросов субъектов персональных данных или их представителей в Государственном комитете Республики Башкортостан по строительству и архитектуре согласно приложению № 2 к настоящему Приказу;
3) Перечень информационных систем персональных данных, используемых в Государственном комитете Республики Башкортостан по строительству и архитектуре, согласно приложению № 3 к настоящему Приказу;
4) Перечень персональных данных, обрабатываемых в Государственном комитете Республики Башкортостан по строительству и архитектуре, согласно приложению № 4 к настоящему Приказу;
5) Типовую форму согласия на обработку персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре согласно приложению № 5 к настоящему Приказу;
6) Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению № 6 к настоящему Приказу;
7) Типовую форму обязательства государственного гражданского служащего Республики Башкортостан в Государственном комитете Республики Башкортостан по строительству и архитектуре, непосредственно осуществляющего обработку персональных данных, о прекращении обработки персональных данных в случае расторжения служебного контракта согласно приложению № 7 к настоящему Приказу;
8) Порядок доступа сотрудников Государственного комитета Республики Башкортостан по строительству и архитектуре в помещения, в которых ведется обработка персональных данных согласно приложению № 8 к настоящему Приказу;
9) Должностные обязанности государственного гражданского служащего Республики Башкортостан, замещающего должность государственной гражданской службы Республики Башкортостан в Государственном комитете Республики Башкортостан по строительству и архитектуре, назначенного ответственным за организацию обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре, согласно приложению № 9 к настоящему Приказу.
2. Контроль за исполнением настоящего Приказа оставляю за собой.
Председатель
Х.М.МАХМУДОВ
Приложение № 1
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 380
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННОМ
КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН ПО
СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
I. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящие правила обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре (далее - Правила) устанавливают единый порядок обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре (далее - Госстрой РБ).
Основанием для разработки настоящих Правил являются: Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Федеральный закон от 2 мая 2006 года № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон № 59-ФЗ), Федеральный закон от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Федеральный закон № 149-ФЗ), Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), Федеральный закон от 9 февраля 2009 года № 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления" (далее - Федеральный закон № 8-ФЗ), Указ Президента Российской Федерации от 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера", Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Постановление № 687), Постановление Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (далее - Постановление № 211), Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление № 1119), Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка), утвержденная заместителем директора Федеральной службы по техническому и экспортному контролю 15 февраля 2008 года.
II. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Для целей настоящих Правил применяются следующие термины и определения:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных;
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральным законодательством не распространяется требование соблюдения конфиденциальности;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
III. ОСНОВНЫЕ ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется на основе следующих принципов:
1) обработка персональных данных должна осуществляться на законной и справедливой основе;
2) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
3) обработке подлежат только персональные данные, которые отвечают целям их обработки;
4) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
5) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Госстрой РБ должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
3.2. В целях обеспечения прав и свобод человека и гражданина Госстрой РБ и его представители при обработке персональных данных должны обеспечить соблюдение следующих общих условий:
1) обработка персональных данных может осуществляться исключительно в целях решения вопросов, входящих в компетенцию Госстроя РБ, в соответствии с законодательством Российской Федерации в области персональных данных;
2) все персональные данные субъекта персональных данных следует получать у него самого или у его полномочного представителя. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
3) Госстрой РБ не имеет права получать и обрабатывать персональные данные субъекта персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;
4) Госстрой РБ не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законодательством;
5) сотрудники, допущенные к работе с персональными данными, должны быть ознакомлены под личную подпись с документами Госстроя РБ, устанавливающими порядок обработки персональных данных субъектов персональных данных, а также об их правах и обязанностях в этой области. Также они обязаны подать в Госстрой РБ письменное обязательство о неразглашении персональных данных и прекращении их обработки в связи с прекращением трудовых отношений;
6) обработку биометрических персональных данных производить в соответствии с требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
IV. МЕРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ
НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Госстрой РБ при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.2. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
4.3. Обеспечение безопасности персональных данных субъектов персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.4. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона № 152-ФЗ.
4.5. Выбор средств защиты информации для системы защиты персональных данных осуществляется Госстроем РБ в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона № 152-ФЗ.
4.6. Для обеспечения безопасности персональных данных при неавтоматизированной обработке предпринимаются следующие меры:
1) определяются места хранения персональных данных, которые оснащаются сейфами, шкафами, стеллажами. Дополнительно кабинеты, в которых осуществляется хранение носители персональных данных, оборудуются замками, системами контроля доступа и охранной сигнализацией;
2) все действия по неавтоматизированной обработке персональных данных осуществляются только должностными лицами, определенными Приказом Госстроя РБ, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции. Перечень должностей сотрудников Госстроя РБ предусматривает замещение указанных должностей сотрудников Госстроя РБ в соответствии с подпунктом "б" пункта 1 Постановления № 211;
3) при обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели, обработки которых заведомо не совместимы.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных, осуществляется копирование подлежащих распространению или использованию способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
Персональные данные, содержащиеся на материальных носителях, уничтожаются по Акту об уничтожении персональных данных.
Эти правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
4) обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением № 687.
4.7. Для обеспечения безопасности персональных данных при автоматизированной обработке предпринимаются следующие меры:
1) все действия при автоматизированной обработке персональных данных осуществляются только должностными лицами, определенными приказом Госстроя РБ, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции. Перечень должностей сотрудников Госстроя РБ предусматривает замещение указанных должностей сотрудников Госстроя РБ в соответствии с подпунктом "б" пункта 1 Постановления № 211;
2) персональные компьютеры, имеющие доступ к базам хранения персональных данных, защищаются паролями доступа. Пароли устанавливаются администратором системы технической защиты персональных данных и сообщаются индивидуально сотруднику Госстроя РБ, допущенному к работе с персональными данными и осуществляющему обработку персональных данных на данном персональном компьютере;
3) иные меры, предусмотренные федеральным законодательством и нормативными правовыми актами.
4.8. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением № 1119.
4.9. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока их хранения в соответствии с приказами по архивному делу, если иное не определено законодательством Российской Федерации.
V. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Получение персональных данных преимущественно осуществляется путем представления их самим субъектом персональных данных, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации.
В случаях, предусмотренных федеральным законодательством, обработка персональных данных осуществляется только с согласия субъекта персональных данных в письменной форме. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии Федеральным законом от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи".
5.2. В случае необходимости проверки персональных данных Госстрой РБ заблаговременно должен сообщить об этом субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
5.3. Обработка персональных данных осуществляется смешанным путем:
неавтоматизированным способом обработки персональных данных;
автоматизированным способом обработки персональных данных (с помощью персональных электронно-вычислительных машин и специальных программных продуктов).
5.4. Персональные данные субъектов персональных данных хранятся на бумажных носителях и в электронном виде.
5.5. Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.6. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных пунктом 5.7 настоящих Правил.
5.7. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
5.8. Госстрой РБ обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
5.9. Госстрой РБ обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъект персональных данных о результатах рассмотрения такого возражения.
5.10. Госстрой РБ вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия соответствующего акта (далее - поручение Госстроя РБ). Лицо, осуществляющее обработку персональных данных по поручению Госстроя РБ, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. В поручении Госстроя РБ должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ.
5.11. Лицо, осуществляющее обработку персональных данных по поручению Госстроя РБ, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
5.12. В случае, если Госстрой РБ поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Госстрой РБ. Лицо, осуществляющее обработку персональных данных по поручению Госстроя РБ, несет ответственность перед Госстроем РБ.
5.13. Обеспечивается ограничение доступа к персональным данным субъектов персональных данных лицам, не уполномоченным Федеральным законодательством либо Госстроем РБ для получения соответствующих сведений.
5.14. Доступ к персональным данным имеют сотрудники Госстроя РБ, допущенные приказом Госстроя РБ к работе с персональными данными. В должностные инструкции данных сотрудников включается пункт об обязанности сохранения информации, являющейся конфиденциальной.
VI. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных в информационных системах персональных данных осуществляется в соответствии с требованиями Постановления № 1119, нормативных правовых актов уполномоченных федеральных органов исполнительной власти.
6.1. При эксплуатации автоматизированных систем необходимо соблюдать следующие требования:
1) на компьютерах, дисках, на которых обрабатываются и хранятся персональные данные, должны быть установлены пароли;
2) на период обработки защищаемой информации на рабочем месте с доступом к персональным данным могут находиться лица, допущенные в установленном порядке к обрабатываемой информации. Допуск других лиц может осуществляться с разрешения руководителя структурного подразделения Госстроя РБ.
6.2. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации:
1) при отсутствии установленных и настроенных сертифицированных средств защиты информации;
2) при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.
VII. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЗ
ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
7.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) должна осуществляться в соответствии с Постановлением № 687.
7.2. В соответствии с пунктом 1 Постановления № 687 обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
7.3. При осуществлении неавтоматизированной обработки необходимо соблюдать следующий порядок:
1) все действия по неавтоматизированной обработке персональных данных субъектов персональных данных осуществляются только должностными лицами, определенными Приказом Госстроя РБ, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции;
2) при обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы;
3) уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными;
4) персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).
7.4. Материальные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
7.5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных, осуществляется копирование подлежащих распространению или использованию персональных данных способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
7.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
7.7. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
VIII. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ОБРАБАТЫВАЕМЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Сроки обработки и хранения персональных данных субъектов персональных данных определяются Приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" и иными нормативными правовыми актами Российской Федерации и Республики Башкортостан.
8.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.
IX. ОБЩИЕ ПРАВИЛА ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПОЛЬЗОВАТЕЛЯМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Госстрой РБ при обработке персональных данных субъектов персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Все действия при автоматизированной обработке персональных данных субъектов персональных данных осуществляются только должностными лицами, определенными Приказом Госстроя РБ, и только в объеме, необходимом выше указанным лицам для выполнения своей трудовой функции.
9.3. Персональные компьютеры, имеющие доступ к базам хранения персональных данных субъектов персональных данных, защищаются паролями доступа. Пароли устанавливаются администратором системы технической защиты персональных данных и сообщаются индивидуально сотруднику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных субъекта персональных данных на данном персональном компьютере.
9.4. К основным правам и обязанностям пользователей информационной системы персональных данных относятся следующие:
1) пользователю информационной системы персональных данных разрешается выполнять на автоматизированном рабочем месте, входящем в состав информационной системы персональных данных, только задачи, соответствующие целям обработки персональных данных в данной информационной системе персональных данных и предусмотренные должностными обязанностями;
2) перед началом обработки на автоматизированном рабочем месте, входящем в состав информационной системы персональных данных, файлов, хранящихся на съемных носителях информации, пользователь информационной системы персональных данных должен осуществить проверку этих файлов на наличие компьютерных вирусов;
3) немедленно докладывать ответственному за организацию обработки персональных данных в Госстрое РБ и системы технической защиты персональных данных в Госстрое РБ о случаях вирусного заражения, сообщениях об ошибках операционной системы и средств защиты информации, а также уничтожении или искажении обрабатываемых в информационной системе персональных данных.
9.5. Пользователям информационной системы персональных данных запрещается:
1) записывать и хранить персональные данные на неучтенных носителях информации;
2) отключать (блокировать) средства защиты информации, входящие в состав системы защиты персональных данных;
3) производить какие-либо изменения в электрических схемах, монтаже и размещении автоматизированных рабочих мест, серверов и сетевого оборудования, входящих в состав информационной системы персональных данных;
4) самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
5) обрабатывать в информационной системе персональных данных информацию и выполнять другие работы, не предусмотренные должностными обязанностями;
6) работать на автоматизированном рабочем месте, входящем в состав информационной системы персональных данных, при обнаружении каких-либо неисправностей. В случае обнаружения неисправностей пользователь обязан сообщить ответственному за организацию обработки персональных данных в министерстве и администратору системы технической защиты персональных данных;
7) хранить носители информации вблизи сильных источников электромагнитных излучений и прямых солнечных лучей;
8) хранить на учтенных носителях информации программы и данные, не относящиеся к рабочей информации.
X. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Передача персональных данных субъектов персональных данных третьим лицам осуществляется Госстроем РБ только с письменного согласия субъекта персональных данных, с подтверждающей визой председателя Госстроя РБ, за исключением следующих случаев:
1) если передача необходима для защиты жизни и здоровья субъекта персональных данных либо других лиц, и получение его согласия невозможно;
2) получения запроса органов дознания, следствия, прокуратуры и суда в связи с проведением оперативно-розыскных мероприятий или судебным разбирательством, в соответствии с действующим законодательством Российской Федерации;
3) в иных случаях, прямо предусмотренных законодательством Российской Федерации.
10.2. Передача персональных данных субъекта персональных данных третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой председателя Госстроя РБ при условии соблюдения требований, предусмотренных пунктом 9.1 настоящих Правил.
10.3. Передача сведений и документов, содержащих персональные данные, осуществляется с согласия субъекта персональных данных. Согласие субъекта персональных данных оформляется письменно в виде отдельного документа. После получения согласия субъекта персональных данных дальнейшая передача указанных сведений и документов, дополнительного письменного согласия не требует и в журнале учета запросов персональных данных субъектов персональных данных по запросам третьих лиц не фиксируется.
В целях соблюдения Федерального законодательства и иных нормативных правовых актов Российской Федерации и обеспечения положений служебного контракта возможна передача без получения письменного согласия:
1) документов, содержащих сведения о доходах и налогах на доходы физических лиц, сведений о начисленных и уплаченных страховых взносах в соответствии с законодательством - в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации;
2) персональных данных сотрудников Госстроя РБ кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы в следующих случаях:
а) договор на выпуск банковской карты заключался напрямую с сотрудником и в тексте которого предусмотрены положения, предусматривающие передачу Госстроем РБ персональных данных сотрудника;
б) наличие у Госстроя РБ доверенности на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании.
Передача персональных данных осуществляется с обязательной отметкой в журнале учета выданных персональных данных субъектов персональных данных по запросам третьих лиц, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.
В случае, если лицо, обратившееся с запросом, не уполномочено Федеральным законодательством на получение персональных данных субъекта персональных данных, либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, Госстрой РБ обязан отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится в Госстрое РБ.
Передача персональных данных обрабатываемых с использованием информационных систем персональных данных допускается строго по защищенным каналам связи.
XI. ПОРЯДОК ПРОВЕДЕНИЯ ИНСТРУКТАЖА И ОБУЧЕНИЯ ПОЛЬЗОВАТЕЛЕЙ
ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Первичный инструктаж пользователя информационной системы персональных данных проводится ответственным за организацию обработки персональных данных при приеме государственного гражданского служащего Госстроя РБ на государственную гражданскую службу. Пользователь информационной системы персональных данных должен быть ознакомлен под роспись со следующими документами:
"Инструкция пользователя по обеспечению безопасности персональных данных";
"Типовое обязательство государственного гражданского служащего Республики Башкортостан в Государственном комитете Республики Башкортостан по строительству и архитектуре, непосредственно осуществляющего обработку персональных данных, о прекращении обработки персональных данных в случае расторжения служебного контракта".
XII. ОРГАНИЗАЦИЯ ПАРОЛЬНОЙ ЗАЩИТЫ УЧЕТНЫХ ЗАПИСЕЙ
ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
12.1. Каждому сотруднику Госстроя РБ допущенному к обработке персональных данных с использованием информационных систем персональных данных сопоставляется персональный идентификатор уникальный в рамках Госстроя РБ, под которым он будет регистрироваться и работать с информационными системами персональных данных. Персональный идентификатор состоит из имени и пароля пользователя. Некоторым сотрудникам Госстроя РБ в случае производственной необходимости может быть сопоставлено несколько уникальных идентификаторов. Использование несколькими сотрудниками Госстроя РБ при работе одного и того же идентификатора ("группового имени") запрещено.
12.2. Основные требования к организации парольной защиты учетных записей пользователей:
1) пароли учетных записей пользователей должны генерироваться либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:
а) длина пароля должна быть не менее 8 символов;
б) в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.), если это поддерживается информационной системой;
в) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования автоматического рабочего места и т.д.), а также общепринятые сокращения, имена пользователей, родственников, знаменательные даты;
2) при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.
12.3. Персональный идентификатор пользователь не имеет права сообщать никому.
12.4. Использование одинаковых паролей в различных персональных идентификаторах не допускается.
12.5. Запрещается хранить идентификаторы либо их части в общедоступных местах (на мониторе, системном блоке и т.д.).
12.6. В случае необходимости, доступ к персональной информации пользователя в его отсутствие осуществляется внеплановой сменой пароля пользователя ответственным за организацию обработки персональных данных в Госстрое РБ. Основанием для внеплановой смены пароля в этом случае является заявка руководителя структурного подразделения на имя ответственного за организацию обработки персональных данных. В заявке указываются:
фамилия имя отчество сотрудника Госстроя РБ;
причина внеплановой смены.
12.7. При необходимости оставить рабочее место пользователь обязан заблокировать консоль рабочей станции информационной системы.
12.8. Плановая смена пароля должна проводиться пользователями регулярно, не реже одного раза в месяц.
12.9. Внеплановая смена пароля или блокировка персонального идентификатора пользователя информационной системы в случае прекращения его полномочий должна производиться немедленно после подписания соответствующего приказа.
12.10. В случае компрометации пароля владелец персонального идентификатора должен немедленно сменить пароль и письменно уведомить своего руководителя и ответственного за организацию обработки персональных данных о факте компрометации.
12.11. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на руководителей структурных подразделений.
XIII. ДОПОЛНИТЕЛЬНЫЕ ПРАВИЛА ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ
13.1. Если подсистемы информационной системы обладают соответствующими возможностями, то они настраиваются согласно требованиям настоящих Правил перечисленным ниже рекомендациям:
принудительная смена пароля с периодом 60 дней;
принудительная проверка сложности пароля должна быть включена;
ведение истории не менее 5 последних паролей пользователя;
принудительная централизованная настройка рабочих мест пользователей на использование блокировки персонального компьютера экранной заставкой по истечении 10 минут неактивного состояния.
XIV. ПРАВИЛА АНТИВИРУСНОЙ ЗАЩИТЫ
14.1. Антивирусное программное обеспечение должно функционировать в режиме непрерывного фонового сканирования программ и файлов на рабочей станции пользователя и на серверах. Обо всех случаях сбоев антивирусного программного обеспечения (появления сообщений об ошибках) пользователь должен немедленно уведомлять ответственного за организацию обработки персональных данных в Госстрое РБ и сотрудников сектора информационной технологии и коммуникаций.
14.2. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.).
14.3. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
14.4. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль.
14.5. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено ответственным за организацию обработки персональных данных в Госстрое РБ и администратором системы технической защиты персональных данных на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера (локальной вычислительной сети) должна быть выполнена антивирусная проверка.
14.6. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник Госстроя РБ должен самостоятельно провести внеочередной антивирусный контроль своей рабочей станции. При необходимости сотрудник Госстроя РБ привлекает сотрудников сектора информационных технологий и коммуникаций для определения ими факта наличия или отсутствия компьютерного вируса, его устранения и ликвидации последствий вирусной активности.
XV. ПОРЯДОК УНИЧТОЖЕНИЯ ОБРАБОТАННЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
15.1. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
При уничтожении персональных данных заполняется акт об уничтожении персональных данных согласно приложению к настоящим Правилам.
Приложение
к Правилам обработки персональных
данных в Государственном комитете
Республики Башкортостан
по строительству и архитектуре
Типовая форма
Акт об уничтожении персональных данных
Комиссия по организации информационной безопасности и защите персональных данных, обрабатываемых в Государственном комитете Республики Башкортостан по строительству и архитектуре, провела отбор носителей персональных данных и установила, что в соответствии с требованиями руководящих документов по защите информации, информация, записанная на них в процессе эксплуатации, подлежит уничтожению:
№ п/п
Дата
Тип носителя
Регистрационный номер носителя персональных данных
Примечание
Всего подлежит уничтожению носителей: _____________________________________.
(цифрами и прописью)
После утверждения Акта перечисленные носители сверены с записями в
акте и на указанных носителях персональные данные уничтожены путем: _______
___________________________________________________________________________
(стирания на устройстве гарантированного уничтожения информации и т.п.)
После утверждения Акта перечисленные носители сверены с записями в
акте и уничтожены путем: __________________________________________________
(разрезания, сжигания, механического уничтожения,
сдачи предприятию по утилизации вторичного
сырья и т.п.)
Уничтоженные носители с книг и журналов учета списаны.
Члены комиссии: __________________/____________
__________________/____________
__________________/____________
__________________/____________
__________________/____________
Примечание:
1. Акт составляется раздельно на каждый способ уничтожения носителей.
2. Все листы Акта, а также все произведенные исправления и дополнения в Акте заверяются подписями всех членов комиссии.
Приложение № 2
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ В ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ
БАШКОРТОСТАН ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
I. ОБЩАЯ ЧАСТЬ
1.1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Государственном комитете Республики Башкортостан по строительству и архитектуре (далее - Правила) разработаны в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (далее - Постановление № 211) и другими нормативными правовыми актами.
1.2. Настоящими Правилами определяются порядок учета, сроки, а также последовательность действий рассмотрения запросов субъектов персональных данных или их законных представителей (далее - запросы).
II. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных Государственным комитетом Республики Башкортостан по строительству и архитектуре (далее - Госстрой РБ);
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые Госстроем РБ способы обработки персональных данных;
4) наименование и место нахождения Госстроя РБ, сведения о лицах (за исключением сотрудников Госстроя РБ), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Госстроем РБ или на основании Федерального закона № 152-ФЗ;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование и адрес организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Госстроя РБ, если обработка поручена или будет поручена такому лицу;
10) иные сведения, прямо предусмотренные законодательством Российской Федерации.
2.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральным законодательством, в том числе если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
2.3. Субъект персональных данных вправе требовать от Госстроя РБ уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
III. ПОРЯДОК РАБОТЫ С ОБРАЩЕНИЯМИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ
ДАННЫХ ИЛИ ИХ ЗАКОННЫХ ПРЕДСТАВИТЕЛЕЙ
3.1. Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3.2. Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, предоставляются субъекту персональных данных или его законному представителю Госстроем РБ при обращении либо при получении запроса (приложение № 1 к настоящим Правилам) субъекта персональных данных или его законного представителя.
3.3. Рассмотрение запросов является служебной обязанностью сотрудников Госстроя РБ, допущенных к обработке персональных данных приказом Госстроя РБ.
3.4. Должностные лица Госстроя РБ обеспечивают:
- объективное, всестороннее и своевременное рассмотрение запроса;
- принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
- направление письменных ответов по существу запроса.
3.5. Все поступившие запросы регистрируются в день их поступления в журнале учета запросов и обращений субъектов персональных данных (приложение № 2 к настоящим Правилам).
3.6. Госстрой РБ обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
3.7. Госстрой РБ обязан сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя в течение тридцати дней с даты получения запроса субъекта персональных данных или его законного представителя.
3.8. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных Госстрой РБ обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3.9. Госстрой РБ обязан предоставить безвозмездно субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
3.10. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Госстрой РБ обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Госстроем РБ и субъектом персональных данных, либо если Госстрой РБ не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством.
3.11. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя либо по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, уполномоченные должностные лица Госстроя РБ обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
3.12. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его законного представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица Госстроя РБ обязаны осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
3.13. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица Госстроя РБ обязаны внести в них необходимые изменения.
3.14. Госстрой РБ обязан уведомить субъекта персональных данных или его законного представителя о внесенных изменениях и предпринятых мерах, а также принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.15. В случае выявления неправомерной обработки персональных данных уполномоченные должностные лица Госстроя РБ в срок, не превышающий трех рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, уполномоченные должностные лица Госстроя РБ в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение.
3.16. Об устранении допущенных нарушений или об уничтожении персональных данных Госстрой РБ обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение субъекта персональных данных или его законного представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
3.17. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 3.10 и 3.15, Госстрой РБ осуществляет блокирование или обеспечивает блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен действующим законодательством.
3.18. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
3.19. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения сотрудником Госстроя РБ действия (бездействия), содержащего признаки административного правонарушения или состава преступления, информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются председателю Госстроя РБ.
3.20. Начальник отдела организационной работы и управления персоналом Госстроя РБ осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов субъектов персональных данных или их законных представителей.
3.21. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.
Приложение № 1
к Правилам рассмотрения запросов
субъектов персональных данных
или их представителей в
Государственном комитете
Республики Башкортостан
по строительству и архитектуре
Типовая форма запроса
Председателю
Государственного комитета
Республики Башкортостан
по строительству и архитектуре
_________________________________
(Ф.И.О. заявителя)
адрес: __________________________
документ,
удостоверяющий личность _________
серия ______ номер ______________
выдан ___________________________
ЗАПРОС
В связи с _____________________________________________________________
(обоснование причин)
на основании ч.ч. 3 и 7 ст. 14, ст. 18, ч. 1 ст. 20 Федерального
закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" прошу
предоставить следующую информацию, касающуюся обработки персональных
данных:
___________________________________________________________________________
(существо запроса с учетом ч. 7 ст. 14 Федерального закона от 27.07.2006
№ 152-ФЗ "О персональных данных")
___________________________________________________________________________
___________________________________________________________________________
В случае отсутствия такой информации прошу Вас уведомить меня об этом.
Информацию прошу представить в следующем порядке
________________________.
_______________________ ________________________
(подпись) (Ф.И.О.)
"__" _________ 20__ г.
Приложение № 2
к Правилам рассмотрения запросов
субъектов персональных данных
или их представителей в
Государственном комитете
Республики Башкортостан
по строительству и архитектуре
ЖУРНАЛ
учета запросов и обращений субъектов персональных данных и
их законных представителей по вопросам обработки
персональных данных в государственном комитете Республики
Башкортостан по строительству и архитектуре
Начат "__" ________ 20__ г.
Окончен "__" ________ 20__ г.
№ п/п
Дата, № и реквизиты запроса
Запрашивающее лицо
Состав запрашиваемых данных
Требуемая информация и цель ее получения
Отметка о предоставлении или отказе в предоставлении информации
Дата передачи отказа в предоставлении информации
Причина отказа
Подпись запрашивающего лица
Подпись ответственного сотрудника
Место хранения информации
1
2
3
4
5
6
7
8
9
10
11
Приложение № 3
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИСПОЛЬЗУЕМЫХ В
ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН ПО
СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ
№ п/п
Наименование ИСПДн <*>
Цель создания ИСПДн (цель обработки ПДн <**>)
Разработчик ИСПДн
Исходные данные ИСПДн
Тип актуальных угроз
Уровень защищенности
1
2
3
4
5
6
7
1.
1С: Зарплата и Кадры
Автоматизация расчета заработной платы и кадрового учета сотрудников Госстроя РБ
ООО "1С", г. Москва
Перечень ПДн:
ФИО, паспортные данные, ИНН, табельный номер, СНИЛС, сведения о заработной плате. Категория ПДн:
Иные.
Субъекты ПДн: сотрудники.
Объем обрабатываемых персональных данных:
до 100000 субъектов. Тип ИСПДн:
ИСПДн-И, обрабатываются иные категории ПДн.
Структура информационной системы:
автоматизированное рабочее место.
Режим обработки персональных данных в информационной системе: однопользовательский. Подключение к сетям международного информационного обмена (Интернет): информационная система относится к системам, не имеющим подключения. Разграничение прав доступа пользователей: без разграничения прав доступа. Местонахождение ИСПДн:
в пределах Российской Федерации
3
4
2.
СПУ ОРБ
Формирование документов индивидуального (персонифицированного) учета по сотрудникам Госстроя РБ
ГУ ОПРФ по Республике Коми
Перечень ПДн:
ФИО, паспортные данные, ИНН, табельный номер, СНИЛС, сведения о заработной плате. Категория ПДн:
Иные.
Субъекты ПДн:
сотрудники.
Объем обрабатываемых персональных данных: до 100000 субъектов. Тип ИСПДн:
ИСПДн-И обрабатывает иные категории ПДн. Структура информационной системы: автоматизированное рабочее место.
Режим обработки персональных данных в информационной системе: однопользовательский. Подключение к сетям международного информационного обмена (Интернет): информационная система относится к системам, не имеющим подключения.
Разграничение прав доступа пользователей: без разграничения прав доступа. Местонахождение ИСПДн:
в пределах Российской Федерации
3.
Налогоплательщик
Формирование базы налоговых вычетов физических лиц, с последующей передачей в налоговые органы
ФГУП ГРИВЦ ФНС России
Перечень ПДн:
ФИО, паспортные данные, ИНН, табельный номер, СНИЛС, сведения о заработной плате. Категория ПДн:
Иные.
Субъекты ПДн: сотрудники.
Объем обрабатываемых персональных данных: до 100000 субъектов. Тип ИСПДн:
ИСПДн-И обрабатывает иные категории ПДн. Структура информационной системы:
автоматизированное рабочее место.
Режим обработки персональных данных в информационной системе: однопользовательский. Подключение к сетям международного информационного обмена (Интернет): информационная система относится к системам, не имеющим подключения. Разграничение прав доступа пользователей: без разграничения прав доступа.
ИСПДн:
в пределах Российской Федерации
3
4
4.
Документы по сотрудникам Госстроя РБ (MS Office)
Обработка, хранение персональных данных сотрудников Госстроя РБ
Госстрой РБ
Перечень ПДн:
ФИО, паспортные данные, ИНН, табельный номер, СНИЛС.
Категория ПДн:
Иные.
Субъекты ПДн: Сотрудники Госстроя РБ.
Объем обрабатываемых персональных данных: до 100000 субъектов. Тип ИСПДн:
ИСПДн-И обрабатывает иные категории ПДн. Структура информационной системы: автоматизированное рабочее место.
Режим обработки персональных данных в информационной системе: однопользовательский. Подключение к сетям международного информационного обмена (Интернет): информационная система относится к системам, не имеющим подключения. Разграничение прав доступа пользователей: без разграничения прав доступа. Местонахождение ИСПДн:
в пределах Российской Федерации
3
4
5.
Документы по гражданам (MS Office)
Обработка, хранение персональных данных граждан, обратившихся в Госстрой РБ
Госстрой РБ
Перечень ПДн:
ФИО, паспортные данные, ИНН, СНИЛС, состав семьи.
Категория ПДн:
Иные.
Субъекты ПДн:
граждане.
Объем обрабатываемых персональных данных: до 100000 субъектов. Тип ИСПДн:
ИСПДн-И обрабатывает иные категории ПДн. Структура информационной системы: автоматизированное рабочее место.
Режим обработки персональных данных в информационной системе: однопользовательский. Подключение к сетям международного информационного обмена (Интернет): информационная система относится к системам, не имеющим подключения. Разграничение прав доступа пользователей: без разграничения прав доступа. Местонахождение ИСПДн:
в пределах Российской Федерации
6.
АИС ПВГО
Оформление государственных жилищных сертификатов
Перечень ПДн:
ФИО, паспортные данные.
Категория ПДн:
Иные.
Субъекты ПДн:
граждане.
Объем обрабатываемых персональных данных: до 100000 субъектов. Тип ИСПДн:
ИСПДн-И обрабатывает иные категории ПДн. Структура информационной системы: распределенная информационная система.
Режим обработки персональных данных в информационной системе: однопользовательский. Подключение к сетям международного информационного обмена (Интернет): информационная система относится к системам, имеющим подключение. Разграничение прав доступа пользователей: без разграничения прав доступа. Местонахождение ИСПДн:
в пределах Российской Федерации
3
4
--------------------------------
<*> ИСПДн - Информационная система персональных данных.
<*> ПДн - Персональные данные.
Приложение № 4
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ГОСУДАРСТВЕННОМ
КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН ПО СТРОИТЕЛЬСТВУ
И АРХИТЕКТУРЕ
№ п/п
Основания для обработки
Содержание сведений
Категории субъектов
1
2
3
4
1
Глава 14 Трудового кодекса РФ
2. Федеральный закон от 27 июля 2004 года № 79-ФЗ "О государственной гражданской службе РФ"
фамилия, имя, отчество;
паспортные данные;
дата и место рождения;
гражданство;
адрес места жительства;
сведения о воинском учете;
семейное положение;
сведения о составе семьи;
сведения о детях;
контактный номер телефона;
сведения об образовании;
профессия (специальность);
должность;
сведения о повышении квалификации; сведения о доходах;
сведения о состоянии здоровья;
сведения о социальных льготах; сведения, содержащиеся в полисе обязательного медицинского страхования;
сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН);
сведения, содержащиеся в страховом свидетельстве государственного пенсионного страхования (СНИЛС); биометрические персональные данные (копия паспорта с фотографией)
Сотрудники Госстроя РБ
2
Положение о Государственном комитете Республики Башкортостан по строительству и архитектуре (утверждено Постановлением Правительства Республики Башкортостан от 23 апреля 2013 года № 162)
фамилия, имя, отчество;
паспортные данные;
дата и место рождения;
имущественное положение;
сведения о составе семьи;
сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН);
сведения, содержащиеся в страховом свидетельстве государственного пенсионного страхования (СНИЛС)
Граждане
Приложение № 5
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
Типовая форма согласия
на обработку персональных данных в государственном комитете
Республики Башкортостан по строительству и архитектуре
Я, нижеподписавшийся ______________________________________________________
(Ф.И.О. полностью)
зарегистрированный по адресу: _____________________________________________
__________________________________________________________________________,
проживающий по адресу: ___________________________________________________,
документ, удостоверяющий личность __________ серия ________ номер ________,
выдан _____________________________________________________________________
(дата и название выдавшего органа)
своей волей и в своем интересе подтверждаю свое согласие на обработку
Государственным комитетом Республики Башкортостан по строительству и
архитектуре (далее - Госстрой РБ), расположенному по адресу: 450008, г.
Уфа, ул. Советская, 18, моих персональных данных.
Цель обработки персональных данных: оформление трудовых отношений, расчет и выдача заработной платы или других доходов, налоговых и пенсионных отчислений, содействие в трудоустройстве, обучении, повышении квалификации и продвижении по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества Госстроя РБ.
Перечень персональных данных, на обработку которых дано настоящее согласие:
- фамилия, имя, отчество;
- паспортные данные;
- дата и место рождения;
- гражданство;
- адрес места жительства;
- сведения о воинском учете;
- семейное положение;
- сведения о составе семьи;
- сведения о детях;
- контактный номер телефона;
- сведения об образовании;
- профессия (специальность);
- должность;
- сведения о повышении квалификации;
- сведения о доходах;
- сведения о состоянии здоровья (относящиеся к вопросам о возможности выполнения трудовой функции);
- сведения о социальных льготах;
- сведения, содержащиеся в полисе обязательного медицинского страхования;
- сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН);
- сведения, содержащиеся в страховом свидетельстве государственного пенсионного страхования (СНИЛС).
Перечень действий с персональными данными, на совершение которых дается согласие <*>: обработка персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способы обработки персональных данных: на бумажных носителях; в информационных системах персональных данных с использованием и без использования средств автоматизации, а также смешанным способом; при участии и при непосредственном участии человека.
Срок, в течение которого действует согласие: до достижения цели обработки персональных данных или до момента утраты необходимости в их достижении, если иное не предусмотрено федеральным законодательством.
Настоящее согласие может быть отозвано мной путем подачи в Госстрой РБ письменного заявления об отзыве согласия.
Подтверждаю, что я ознакомлен с Положением о защите персональных данных работников Государственного комитета Республики Башкортостан по строительству и архитектуре, права и обязанности в области защиты персональных данных мне разъяснены.
"__" __________ 20__ г. ____________ ________________________________
(подпись) (расшифровка подписи работника)
--------------------------------
<*> Если распространение (в том числе передача) информации о персональных данных производится в непредусмотренных Федеральным законодательством случаях обязательного предоставления субъектом персональных данных своих персональных данных, работодатель (оператор) обязан запросить письменное согласие работника в каждом отдельном случае.
Приложение № 6
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
Типовая форма
разъяснения субъекту персональных данных
юридических последствий отказа предоставить свои
персональные данные
Мне, ______________________________________________________________________
(фамилия, имя, отчество)
разъяснены юридические последствия отказа предоставить свои персональные
данные Государственному комитету Республики Башкортостан по строительству и
архитектуре.
В соответствии со статьями 26, 42 Федерального закона от 27 июля 2004 года № 79-ФЗ "О государственной гражданской службе Российской Федерации", Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 года № 609, определен перечень персональных данных, которые субъект персональных данных обязан предоставить Государственному комитету Республики Башкортостан по строительству и архитектуре в связи с поступлением или прохождением государственной гражданской службы.
Без представления субъектом персональных данных обязательных для заключения служебного контракта сведений служебный контракт не может быть заключен.
На основании пункта 11 части 1 статьи 33 Федерального закона от 27 июля 2004 года № 79-ФЗ "О государственной гражданской службе Российской Федерации" служебный контракт прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность замещения должности гражданской службы.
"__" ________ 20__ г. __________________ _______________________
(подпись) (расшифровка подписи)
Приложение № 7
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
Типовая форма
обязательства государственного гражданского служащего
Республики Башкортостан в Государственном комитете
Республики Башкортостан по строительству и архитектуре,
непосредственно осуществляющего обработку персональных
данных, о прекращении обработки персональных данных в
случае расторжения служебного контракта
Я, ____________________________________________________________________
(фамилия, имя, отчество)
___________________________________________________________________________
(должность)
обязуюсь прекратить обработку персональных данных, ставших известными мне в
связи с исполнением должностных обязанностей, в случае расторжения со мной
служебного контракта, освобождения меня от замещаемой должности и
увольнения с государственной гражданской службы.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией, и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставших известными мне в связи с исполнением должностных обязанностей.
Ответственность, предусмотренная Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" и другими федеральными законами, мне разъяснена.
"__" _______ 20__ г. _____________ __________________________
(подпись) (расшифровка подписи)
Приложение № 8
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
ПОРЯДОК
ДОСТУПА СОТРУДНИКОВ ГОСУДАРСТВЕННОГО КОМИТЕТА РЕСПУБЛИКИ
БАШКОРТОСТАН ПО СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ В ПОМЕЩЕНИЯ, В
КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении, в котором осуществляется обработка персональных данных.
2. Все сотрудники Государственного комитета Республики Башкортостан по строительству и архитектуре (далее - Госстрой РБ), постоянно работающие в помещениях, в которых ведется обработка персональных данных, должны быть допущены к работе с соответствующими видами персональных данных.
3. В помещениях Госстроя РБ применяются административные, технические, физические и процедурные меры, направленные для защиты данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных. К указанным мерам относятся:
а) физические меры защиты: двери, снабженные замками, сейфы и безопасное уничтожение носителей, содержащих персональные данные;
б) технические меры защиты: применение антивирусных программ, программ защиты, установление парольной защиты на персональных компьютерах;
в) административные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты;
г) процедурные меры защиты: разделение обязанностей пользователей информационной системы персональных данных, разграничение доступа, минимизация привилегий.
Приложение № 9
к Приказу Государственного комитета
Республики Башкортостан
по строительству и архитектуре
от 31 декабря 2014 г. № 308
ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ
ГОСУДАРСТВЕННОГО ГРАЖДАНСКОГО СЛУЖАЩЕГО РЕСПУБЛИКИ
БАШКОРТОСТАН, ЗАМЕЩАЮЩЕГО ДОЛЖНОСТЬ ГОСУДАРСТВЕННОЙ
ГРАЖДАНСКОЙ СЛУЖБЫ РЕСПУБЛИКИ БАШКОРТОСТАН В
ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН ПО
СТРОИТЕЛЬСТВУ И АРХИТЕКТУРЕ, НАЗНАЧЕННОГО ОТВЕТСТВЕННЫМ ЗА
ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННОМ
КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН ПО СТРОИТЕЛЬСТВУ
И АРХИТЕКТУРЕ
1. Ответственный за организацию обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре персональных данных (далее - Госстрой РБ), назначаемый приказом Госстроя РБ, в своей деятельности руководствуется: Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", Федеральным законом от 2 мая 2006 года № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", политикой безопасности персональных данных, утверждаемой приказом Госстроя РБ, правилами обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре, утверждаемыми приказом Госстроя РБ, настоящими Должностными обязанностями.
2. Ответственный за организацию обработки персональных данных в Госстрое РБ обязан:
- определить порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- анализировать эффективность применения мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- контролировать состояние учета машинных носителей персональных данных;
- проверять соблюдение правил доступа к персональным данным в Госстрое
РБ;
- контролировать проведение мероприятий в Госстрое РБ по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
3. Ответственный за организацию обработки персональных данных в Госстрое РБ имеет право:
- требовать от сотрудников Госстроя РБ, допущенных к обработке персональных данных в Госстрое РБ, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- применять меры по приостановлению или прекращению обработки персональных данных в Госстрое РБ, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить председателю Госстроя РБ предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке в Госстрое РБ;
- предоставлять субъекту персональных данных либо его представителю по запросу информацию об обработке его персональных данных в Госстрое РБ;
- осуществлять внутренний текущий контроль за соблюдением требований законодательства Российской Федерации и правилами обработки персональных данных в Государственном комитете Республики Башкортостан по строительству и архитектуре, утвержденными приказом Госстроя РБ, при обработке персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения лиц, допущенных к обработке персональных данных, положения федерального законодательства Российской Федерации о персональных данных, нормативных правовых актов Госстроя РБ по вопросам обработки персональных данных;
- получать от сотрудников Госстроя РБ, допущенных к работе с персональными данными, обязательство сотрудника Госстроя РБ, непосредственно осуществляющего обработку персональных данных, о прекращении обработки персональных данных в случае расторжения служебного контракта.
------------------------------------------------------------------