Приказ ММПС РБ от 30.12.2014 N ОД-1327 "Об утверждении Положения об обработке персональных данных и обеспечении соблюдения требований законодательства о персональных данных"
Зарегистрировано в Государственном комитете РБ по делам юстиции 29 апреля 2015 г. № 6323
-----------------------------------------------------------------------------
МИНИСТЕРСТВО МОЛОДЕЖНОЙ ПОЛИТИКИ И СПОРТА
РЕСПУБЛИКИ БАШКОРТОСТАН
ПРИКАЗ
от 30 декабря 2014 г. № ОД-1327
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
И ОБЕСПЕЧЕНИИ СОБЛЮДЕНИЯ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Во исполнение требований, предусмотренных частью 1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", приказываю:
1. Утвердить прилагаемое Положение об обработке персональных данных и обеспечении соблюдения требований законодательства о персональных данных.
2. Контроль за исполнением настоящего Приказа возложить на заместителя министра молодежной политики и спорта Республики Башкортостан Зубаирова Динара Талгатовича.
Министр
А.И.ИВАНЮТА
Утверждено
Приказом Министерства
молодежной политики и спорта
Республики Башкортостан
от 30 декабря 2014 г. № ОД-1327
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЕСПЕЧЕНИИ СОБЛЮДЕНИЯ
ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
1.1. В настоящем Положении об обработке персональных данных и обеспечении соблюдения требований законодательства о персональных данных (далее - Положение) в Министерстве молодежной политики и спорта Республики Башкортостан используются основные понятия и термины, определенные Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" и Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Настоящее Положение является локальным актом, регулирующим вопросы обработки персональных данных в Министерстве молодежной политики и спорта Республики Башкортостан (далее - министерство) и процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
2.2. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке государственными гражданскими служащими министерства.
2.3. Настоящее Положение разработано в соответствии с:
Конституцией Российской Федерации;
Трудовым кодексом Российской Федерации от 30 декабря 2001 года № 197-ФЗ;
Кодексом об административных правонарушениях Российской Федерации от 30 декабря 2001 года № 195-ФЗ;
Гражданским кодексом Российской Федерации от 30 ноября 1994 года № 51-ФЗ;
Уголовным кодексом Российской Федерации от 13 июня 1996 года № 63-ФЗ;
Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных";
Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
Постановлением Правительства Российской Федерации от 6 июля 2008 года № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".
2.4. Обработка персональных данных должна осуществляться на основе принципов, определенных в статье 5 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".
2.5. Основными методами и способами защиты информации от несанкционированного доступа являются:
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы.
3. ПОРЯДОК ОПРЕДЕЛЕНИЯ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
Порядок определения защищаемой информации в министерстве регламентируется Указом Президента Российской Федерации 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера", Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", иными нормативными правовыми актами.
Перечень персональных данных, обрабатываемых и хранящихся в министерстве, утверждается министром.
4. УСЛОВИЯ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Сбор персональных данных может осуществляться как путем представления их самим субъектом, так и путем получения из иных источников в соответствии с действующим законодательством.
4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.
4.3. Сотрудники, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные.
5. ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.2. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
5.3. Право доступа к персональным данным субъекта внутри министерства имеют сотрудники, перечень которых утверждается министром, а также сам субъект персональных данных.
6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ
6.1. Передача персональных данных субъекта возможна только с согласия субъекта или в случаях, предусмотренных законодательством.
6.2. При передаче персональных данных субъекта сотрудники министерства должны соблюдать следующие требования:
не сообщать персональные данные субъекта без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законодательством;
предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные субъекта, обязаны соблюдать режим защиты персональных данных;
не допускать передачу персональных данных при ответе на вопрос, заданный по телефону;
соблюдать иные требования законодательства о защите персональных данных.
7. ПРАВА СУБЪЕКТОВ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ХРАНЯЩИХСЯ В МИНИСТЕРСТВЕ
7.1. В целях защиты персональных данных, хранящихся в министерстве, субъект имеет право:
на полную информацию о своих персональных данных и обработке этих данных;
требовать исключения или исправления неверных или неполных персональных данных;
определять своих представителей для защиты своих персональных данных;
на сохранение и защиту своей личной и семейной тайны;
на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законодательством;
на обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных;
на совершение иных действий в соответствии с законодательством.
8. ТРЕБОВАНИЯ К ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ
8.1. Обработка персональных данных в министерстве организуется на основании Постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и Приказа Федеральной службы по техническому и экспортному контролю Российской Федерации от 18 февраля 2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
8.2. Защита персональных данных, осуществляемая в министерстве, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были выполнены следующие требования:
определены места хранения персональных данных (материальных носителей),
обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
8.3. Применяемые меры по защите персональных данных в министерстве должны быть направлены на:
ограничение доступа персонала и посторонних лиц в помещения, где размещены информационные системы персональных данных и хранятся материальные носители персональных данных;
организацию учета и надежного хранения материальных носителей персональных данных, их обращения, исключающее хищение, подмену и уничтожение;
размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр.
8.4. Обработка персональных данных на базе автономных ЭВМ в министерстве должна быть основана на технологии обработки информации с использованием съемных накопителей информации большой емкости, которая предусматривает запись на съемный накопитель прикладного программного обеспечения (или его части) и обрабатываемых персональных данных. В качестве устройств для работы по этой технологии могут быть использованы как встроенные (съемные), так и выносные накопители на магнитных, магнитооптических дисках различной конструкции. Одновременно может быть установлено несколько съемных накопителей информации большой емкости.
8.5. Порядок защиты персональных данных на базе автономных ЭВМ в министерстве определен п. 5.5 "Специальных требований и рекомендаций по технической защите конфиденциальной информации", утвержденных Приказом Государственной технической комиссии при Президенте Российской Федерации от 30 августа 2002 года № 282 "Об утверждении "Специальных требований и рекомендаций по технической защите конфиденциальной информации".
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ
ПОЛУЧЕНИЕ, ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.
9.2. Должностные лица министерства, виновные в нарушении норм и требований действующего законодательства, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством.
------------------------------------------------------------------
Зарегистрировано в Государственном комитете РБ по делам юстиции 29 апреля 2015 г. № 6323
-----------------------------------------------------------------------------
МИНИСТЕРСТВО МОЛОДЕЖНОЙ ПОЛИТИКИ И СПОРТА
РЕСПУБЛИКИ БАШКОРТОСТАН
ПРИКАЗ
от 30 декабря 2014 г. № ОД-1327
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
И ОБЕСПЕЧЕНИИ СОБЛЮДЕНИЯ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Во исполнение требований, предусмотренных частью 1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", приказываю:
1. Утвердить прилагаемое Положение об обработке персональных данных и обеспечении соблюдения требований законодательства о персональных данных.
2. Контроль за исполнением настоящего Приказа возложить на заместителя министра молодежной политики и спорта Республики Башкортостан Зубаирова Динара Талгатовича.
Министр
А.И.ИВАНЮТА
Утверждено
Приказом Министерства
молодежной политики и спорта
Республики Башкортостан
от 30 декабря 2014 г. № ОД-1327
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЕСПЕЧЕНИИ СОБЛЮДЕНИЯ
ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
1.1. В настоящем Положении об обработке персональных данных и обеспечении соблюдения требований законодательства о персональных данных (далее - Положение) в Министерстве молодежной политики и спорта Республики Башкортостан используются основные понятия и термины, определенные Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" и Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Настоящее Положение является локальным актом, регулирующим вопросы обработки персональных данных в Министерстве молодежной политики и спорта Республики Башкортостан (далее - министерство) и процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
2.2. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке государственными гражданскими служащими министерства.
2.3. Настоящее Положение разработано в соответствии с:
Конституцией Российской Федерации;
Трудовым кодексом Российской Федерации от 30 декабря 2001 года № 197-ФЗ;
Кодексом об административных правонарушениях Российской Федерации от 30 декабря 2001 года № 195-ФЗ;
Гражданским кодексом Российской Федерации от 30 ноября 1994 года № 51-ФЗ;
Уголовным кодексом Российской Федерации от 13 июня 1996 года № 63-ФЗ;
Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных";
Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
Постановлением Правительства Российской Федерации от 6 июля 2008 года № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".
2.4. Обработка персональных данных должна осуществляться на основе принципов, определенных в статье 5 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".
2.5. Основными методами и способами защиты информации от несанкционированного доступа являются:
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы.
3. ПОРЯДОК ОПРЕДЕЛЕНИЯ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
Порядок определения защищаемой информации в министерстве регламентируется Указом Президента Российской Федерации 6 марта 1997 года № 188 "Об утверждении перечня сведений конфиденциального характера", Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации", иными нормативными правовыми актами.
Перечень персональных данных, обрабатываемых и хранящихся в министерстве, утверждается министром.
4. УСЛОВИЯ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Сбор персональных данных может осуществляться как путем представления их самим субъектом, так и путем получения из иных источников в соответствии с действующим законодательством.
4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.
4.3. Сотрудники, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные.
5. ХРАНЕНИЕ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.2. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
5.3. Право доступа к персональным данным субъекта внутри министерства имеют сотрудники, перечень которых утверждается министром, а также сам субъект персональных данных.
6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ
6.1. Передача персональных данных субъекта возможна только с согласия субъекта или в случаях, предусмотренных законодательством.
6.2. При передаче персональных данных субъекта сотрудники министерства должны соблюдать следующие требования:
не сообщать персональные данные субъекта без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законодательством;
предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные субъекта, обязаны соблюдать режим защиты персональных данных;
не допускать передачу персональных данных при ответе на вопрос, заданный по телефону;
соблюдать иные требования законодательства о защите персональных данных.
7. ПРАВА СУБЪЕКТОВ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ХРАНЯЩИХСЯ В МИНИСТЕРСТВЕ
7.1. В целях защиты персональных данных, хранящихся в министерстве, субъект имеет право:
на полную информацию о своих персональных данных и обработке этих данных;
требовать исключения или исправления неверных или неполных персональных данных;
определять своих представителей для защиты своих персональных данных;
на сохранение и защиту своей личной и семейной тайны;
на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законодательством;
на обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных;
на совершение иных действий в соответствии с законодательством.
8. ТРЕБОВАНИЯ К ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ
8.1. Обработка персональных данных в министерстве организуется на основании Постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и Приказа Федеральной службы по техническому и экспортному контролю Российской Федерации от 18 февраля 2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
8.2. Защита персональных данных, осуществляемая в министерстве, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были выполнены следующие требования:
определены места хранения персональных данных (материальных носителей),
обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
8.3. Применяемые меры по защите персональных данных в министерстве должны быть направлены на:
ограничение доступа персонала и посторонних лиц в помещения, где размещены информационные системы персональных данных и хранятся материальные носители персональных данных;
организацию учета и надежного хранения материальных носителей персональных данных, их обращения, исключающее хищение, подмену и уничтожение;
размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр.
8.4. Обработка персональных данных на базе автономных ЭВМ в министерстве должна быть основана на технологии обработки информации с использованием съемных накопителей информации большой емкости, которая предусматривает запись на съемный накопитель прикладного программного обеспечения (или его части) и обрабатываемых персональных данных. В качестве устройств для работы по этой технологии могут быть использованы как встроенные (съемные), так и выносные накопители на магнитных, магнитооптических дисках различной конструкции. Одновременно может быть установлено несколько съемных накопителей информации большой емкости.
8.5. Порядок защиты персональных данных на базе автономных ЭВМ в министерстве определен п. 5.5 "Специальных требований и рекомендаций по технической защите конфиденциальной информации", утвержденных Приказом Государственной технической комиссии при Президенте Российской Федерации от 30 августа 2002 года № 282 "Об утверждении "Специальных требований и рекомендаций по технической защите конфиденциальной информации".
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ
ПОЛУЧЕНИЕ, ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.
9.2. Должностные лица министерства, виновные в нарушении норм и требований действующего законодательства, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством.
------------------------------------------------------------------